现在是4点04分,我和我的小伙伴们还在讨论和审核漏洞,大家激烈的在讨论遇到的问题,我把相关问题娓娓道来,也想抛砖引玉的引发下大家的讨论。
1.漏洞如何定价?
在Sobug大众测的情况下,漏洞的定价是一件很头疼的事情,单项目被测试的站点或许有非常非常多,基于业务的重要程度,漏洞的危害程度等划分,不同的漏洞定价不同,相同的漏洞在不同的场景下,可能定价也不相同。
换位思考:
平衡点:
平台定价标准:
为了让平台可以和谐的发展,也为了让更多的厂商和白帽子可以一起愉快的玩耍,平台的定价标准为:不拒绝低危漏洞的报告,但是价格区别对待,拔高打低。
2.漏洞的重复问题
全员众测必然会遇到这个问题,如何去解决这个问题?
在漏洞报告时,平台考虑增加填写框,网址地址,CGI地址,参数名,当匹配到数据库已经存在类似漏洞,提示白帽子已有人报告。【排期开发中】
当出现重复漏洞时,审核人员会在关闭该漏洞单时附上第一个报告者的报告页拱重复报告者查看,已达到公平,公正,公开的目的。【已于4:08上线此功能】
3.平台想说的一些话
一天的运营,发现了很多上线前没有考虑到问题,我觉得是一件很好事,它让我们不断思考。如何更好的服务平台双方需要大家的讨论和参与,希望大家可以给平台多提些意见,让我们走的更远,走的更好。:)
SOBUG团队
2014年05月13日
合作厂商
活跃白帽子
已发现漏洞
发出的赏金