sobug

第一天的思考

2014-05-13

现在是4点04分,我和我的小伙伴们还在讨论和审核漏洞,大家激烈的在讨论遇到的问题,我把相关问题娓娓道来,也想抛砖引玉的引发下大家的讨论。

1.漏洞如何定价?

  在Sobug大众测的情况下,漏洞的定价是一件很头疼的事情,单项目被测试的站点或许有非常非常多,基于业务的重要程度,漏洞的危害程度等划分,不同的漏洞定价不同,相同的漏洞在不同的场景下,可能定价也不相同。

  换位思考:

  • 厂商的角度,大厂商花钱做众测的目的是想发现影响其核心业务或者核心数据的漏洞,谁都不愿意花10w收1000个XSS漏洞。
  • 白帽子的角度,白帽子发现的漏洞,需要得到厂商的奖励和认可,但是高危漏洞的发现毕竟门槛较高。

  平衡点:

  • 厂商应该鼓励白帽子去发现其业务漏洞,无论高中低,不应拒绝低危漏洞,但是在价格定价上要强烈区分,鼓励白帽子去发现高危漏洞。
  • 白帽子在正常测试中,应该基于漏洞危害程度的思维去发现漏洞,报告漏洞的时候尽可能以最详细的方式告知厂商危害,在不影响业务的情况下提供厂商漏洞POC。

  平台定价标准:

  为了让平台可以和谐的发展,也为了让更多的厂商和白帽子可以一起愉快的玩耍,平台的定价标准为:不拒绝低危漏洞的报告,但是价格区别对待,拔高打低。

  • 对于厂商关系的安全问题或者影响核心业务和数据的漏洞一律价格到顶。(比如APP厂商更多关心会是客户端的安全问题)
  • 对于不影响核心数据的信息泄露和XSS一律打低。

 

2.漏洞的重复问题

   全员众测必然会遇到这个问题,如何去解决这个问题?

  • 如何避免这个问题?

   在漏洞报告时,平台考虑增加填写框,网址地址,CGI地址,参数名,当匹配到数据库已经存在类似漏洞,提示白帽子已有人报告。【排期开发中】

  • 出现这个问题如何让白帽子理解?

   当出现重复漏洞时,审核人员会在关闭该漏洞单时附上第一个报告者的报告页拱重复报告者查看,已达到公平,公正,公开的目的。【已于4:08上线此功能】

 

3.平台想说的一些话

  一天的运营,发现了很多上线前没有考虑到问题,我觉得是一件很好事,它让我们不断思考。如何更好的服务平台双方需要大家的讨论和参与,希望大家可以给平台多提些意见,让我们走的更远,走的更好。:)

SOBUG团队

2014年05月13日

平台概况

  • 673

    合作厂商

  • 24,112

    活跃白帽子

  • 5,757

    已发现漏洞

  • 1,877,917

    发出的赏金