안녕하세요, 파인더갭입니다! 오늘은 파인더갭 평가 담당자가 알려주는 리포트를 평가하는 방법에 대해 글을 써보겠습니다!

버그바운티 리포트를 정성적으로 가치평가하는 것은 여러 가지 이유로 어려울 수 있습니다. 정성적인 가치평가는 주관적 요소를 포함하며, 여러 가지 복잡한 상황을 고려해야 하기 때문입니다.

***

# 🧵 정성적 가치평가의 어려움

​

1. 복잡한 맥락

버그의 심각성은 그 자체만으로 평가하기 어려울 수 있습니다.

예를 들어, 동일한 취약점이라도 민감한 데이터에 접근할 수 있는 웹 애플리케이션에 발생했을 때와 일반적인 정보에 적용되었을 때의 영향은 다릅니다.

각 조직의 특성과 환경에 따라 같은 버그도 다양한 영향을 미칠 수 있기 때문에, 가치평가가 복잡해집니다.

​

2. 주관적 판단

보고서를 평가하는 사람마다 견해와 관점이 다를 수 있습니다.

동일한 취약점이라도 어떤 사람에게는 중요하게 여겨질 수 있지만, 다른 사람에게는 덜 중요하게 느껴질 수 있습니다.

​

3. 리스크 관리 전략

각 기업은 고유한 리스크 관리 전략을 갖고 있습니다.

따라서 일부 기업에서는 특정 취약점을 더 중요하게 여기지만, 다른 기업에서는 우선순위가 낮을 수 있습니다.

​

🌌 CVSS의 한계

공통 취약점 점수 시스템(Common Vulnerability Scoring System, CVSS)은 취약점의 심각성을 수치화하여 평가하는 표준화된 방법입니다. 그러나 CVSS에도 몇 가지 한계가 있습니다.

​

1.맥락 부족

CVSS는 특정 취약점의 기술적 세부 사항에 기반해 점수를 산출하지만, 각 조직이나 시스템의 고유한 맥락을 고려하지 않습니다. 동일한 점수라도 다양한 상황에서 의미가 달라질 수 있습니다.

​

2. 세분화 부족

CVSS는 기본 점수, 시간 점수, 환경 점수 등 여러 요소로 구성되지만, 모든 취약점을 충분히 세분화하여 설명할 수는 없습니다.

​

3. 동적인 환경 고려 부족

CVSS는 정적 환경을 기반으로 취약점의 심각성을 평가합니다. 그러나 실제 조직의 시스템은 동적이며, 시간에 따라 변화합니다. 취약점의 맥락이나 리스크는 시간이 지나면서 달라질 수 있습니다.

***

💯 버그바운티 플랫폼의 리포트 평가 방법

버그바운티 플랫폼들은 리포트를 평가할 때 일반적으로 다음과 같은 방법을 사용합니다.

​

1️⃣ 심사팀의 검토

대부분의 플랫폼은 전문 심사팀을 구성하여 리포트를 검토합니다. 심사팀은 리포트의 정확성, 재현 가능성, 그리고 취약점의 심각성을 평가합니다.

​

2️⃣ 고객과의 협의

플랫폼은 리포트를 검토한 후, 이를 고객(버그바운티 프로그램을 운영하는 기업)에게 전달합니다. 고객은 자체적으로 취약점을 평가하고, 리포트의 정확성과 영향력을 판단합니다.

​

3️⃣ CVSS 활용

많은 플랫폼은 CVSS를 사용하여 취약점의 심각성을 평가하고, 이에 따라 리포트를 분류합니다. 이를 통해 취약점의 위험도를 수치화하여 비교할 수 있습니다.

​

4️⃣고객의 피드백

고객이 리포트를 검토한 후, 플랫폼과의 소통을 통해 취약점의 심각성을 조정할 수 있습니다.

이 과정에서 정성적 가치평가와 정량적 가치평가가 종합적으로 이루어집니다.

​

버그바운티 리포트의 가치평가는 다양한 요소와 주관적인 판단을 포함하며, 플랫폼은 이를 통해 리포트를 정확하고 공정하게 평가하고자 노력합니다.

​

​

이러한 리포트는 어떻게 작성되는 게 좋을까요-?

평가 담당자가 알려주는 리포트 잘 쓰는 법에 대해 궁금하시다면,

다음 블로그 포스팅을 기대해주세요 :)