Chuyển đến nội dung chính

Xử lý báo cáo

Quá trình xử lý một báo cáo bao gồm các bước sau:

1. Tiếp nhận

Khi có một báo cáo mới đến chương trình, một owner mặc định sẽ nhận được email thông báo. Chúng ta có thể thay đổi owner mặc đinh này trong phần quản lý thành viên của chương trình. Người tiếp nhận sẽ phải:
1
Nếu không hợp lệ có thể chuyển trạng thái báo cáo qua Rejected luôn.
2
Đồng thời chuyển trạng thái về Triagged để báo hiệu quá trình điều tra bắt đầu.new_report.png
3
Mô tả sẽ được viết dưới dạng markdown
4
Nếu không assign cho người cụ thể khác, mặc định bạn sẽ là người xử lý báo cáo.
assign

2. Điều tra

Quá trình này đòi hỏi việc phân tích chính xác các thông tin mà researcher cung cấp, bao gồm:
1

Kiểm tra liệu báo cáo có hợp lệ không

Trong nhiều trường hợp, lỗ hổng được báo cáo có thể thuộc những trường hợp không hợp lệ như sau:
  • Báo cáo bị trùng với một phát hiện trước đó. Xử lý bằng cách chuyển trạng thái thành Duplicate và bổ sung thêm id của báo cáo trước đó. Việc thêm id báo cáo trùng là không bắt buộc tuy nhiên nó thực sự cần thiết để tránh các xung đột về sau với researcher.
duplicate
  • Báo cáo không nằm trong phạm vi chương trình. Xử lý bằng cách chuyển trạng thái thành Out of Scope và hoàn tất.
  • Báo cáo không phải là một vấn đề an ninh mà chỉ là một lỗi lập trình thông thường. Xử lý bằng cách chuyển trạng thái thành Not Applicable và hoàn tất.
  • Báo cáo có mức độ nguy hiểm rất thấp và không cần phải khắc phục. Xử lý bằng cách chuyển trạng thái thành Won’t fix và hoàn tất.
2

Tái tạo lỗi theo mô tả của researcher.

Nếu không thể tái tạo được thì comment trao đổi đến khi thực hiện được. Trong trường hợp cuối cùng vẫn không thể tái tạo lại lỗi thì chuyển trạng thái thành Not Reproducible và hoàn tất.
3

Xác định đúng loại lỗ hổng.

Cần xác định đúng loại lỗ hổng vì có thể researcher nhầm lẫn giữa các loại lỗ hổng, việc này có thể thực hiện bằng cách dựa trên kinh nghiệm của bạn hoặc trao đổi trực tiếp với researcher.vuln_type.png
4

Đánh giá mức độ nguy hiểm của lỗ hổng.

Mức độ nguy hiểm của lỗi mặc định được gán theo loại lỗi theo chuẩn VRT, tuy nhiên điều này không hẳn đúng trong những hoàn cảnh cụ thể. Vì vậy, cần đánh giá mức độ nguy hiểm này dựa trên những tác động thực tế mà lỗ hổng gây ra cho hệ thống và doanh nghiệp của bạn.
Bạn có thể tham khảo cách phân loại mức độ nguy hiểm tại đây.

3. Hoàn tất

Nếu báo cáo được xác định là đúng và tồn tại lỗ hổng, chúng ta cần chuyển trạng thái về:
  • Unresolved nếu lỗ hổng chưa được vá.
  • Resolved nếu lỗ hổng đã được vá.
Tại thời điểm này, chúng ta đã đủ căn cứ để trao thưởng cho researcher mà không cần chờ vá lỗi xong, vì việc vá lỗ hổng có thể tốn nhiều thời gian. Trả thưởng bằng cách click vào nút Trao thưởng phía trên báo cáo và nhập số tiền cần trao, số tiền này không thể nhỏ hơn mức thưởng đã quy ước từ trước. reward2 Một báo cáo được xem là kết thúc khi trạng thái báo cáo là Resolved và chúng ta có thể lưu trữ báo cáo đó để bớt rối hơn khi duyệt các báo cáo mới. archive