버그바운티 플랫폼에서 인정받을 우수한 리포트를 작성하는 방법

안녕하세요, 파인더갭입니다.

오늘은 버그바운티 리포트 작성법에 대해 글을 써보려고 합니다!

---

먼저, 버그바운티 리포트를 작성할 때, 보고서의 정확성과 품질은 그 결과와 보상에 큰 영향을 미칩니다.

​

특히 버그헌팅을 통해 보고서를 제출하고 나서,

그 리포트의 상태가 중복으로 변경되거나, 중요도가 낮게 평가를 받거나

심지어 유효한 보고서가 '무효'로 표시되는 경우가 발생하기도 합니다.

​

이런 일이 왜 발생할까요? 🤷🏻‍♂️🤷🏻‍♀️

​

버그바운티 리포트는 기업의 리스크 관리 전략과 리포트 내용의 맥락, 심지어 평가하는 사람에 따른 주관적인 판단이 평가에 영향을 미치게 됩니다.

***

그렇다면, 어떤 리포트를 작성해야 높은 평가를 받을 수 있을까요?

보고서 작성은 잘만 하면 매우 가치 있는 일이 될 수 있습니다.

예를 들어, 고객이 보고서의 내용을 이해하고 그 영향력을 충분히 평가한다면,

설령 중복 리포트라 해도 보상을 받을 수도 있습니다.

💫 (기존 리포트보다 가치 있는 내용이 충분히 담겨야 합니다.)

​

버그바운티 리포트를 평가하면서 보고서 작성을 개선하는 몇 가지 팁을 알려드릴게요.❗

여기서 말하는 것들은 버그헌팅 플랫폼의 평가자로서, 그리고 타 플랫폼의 제보자로서 경험한 것입니다!!

몇 가지 주의할 점도 포함되어 있으니 유용하게 참고하시면 좋겠습니다.

​

​

1. 제목 작성

리포트의 제목은 버그에 대한 첫인상을 주기 때문에, 정확하면서도 핵심을 잘 표현해야 합니다.

"SQL 인젝션"처럼 단순한 제목보다는 "xxx.xxx에서 매개변수 xx=에서의 SQL 인젝션"처럼 구체적이고 명확한 제목을 사용하는 것이 좋습니다.

​

2. 설명 부분

보고서의 설명은 버그가 무엇이며, 어떻게 발견했는지에 대해 간단하면서도 명확하게 설명해야 합니다.

예를 들어, 깃허브에서 유출된 데이터를 보고할 때,

"깃허브 링크를 통해 도메인 xxx.xx의 내부 데이터를 발견했습니다"처럼 구체적인 정보를 제공해야 합니다.

​

3. 재현 단계

버그를 재현하기 위한 단계는 자세하게 제공해야 합니다.

예를 들어, 특정 URL을 방문하고 어떤 페이로드를 사용해야 하는지 상세하게 설명해야 합니다.

재현이 어려운 경우에는 심사팀과 고객팀을 위한 추가 설명을 포함하여, 그들이 쉽게 버그를 재현할 수 있도록 도와야 합니다.

​

4. 개념 증명(POC)

개념 증명(Proof of Concept)은 스크린샷이나 동영상을 활용하여 버그의 존재를 확실히 보여주어야 합니다. SQL 인젝션의 경우, 데이터베이스 이름이나 일부 데이터베이스 내용만 보여주면 충분합니다.

더 깊이 들어가는 것은 윤리적으로 문제가 될 수 있으니 주의해야 합니다.

​

5. 영향력

보고서에서 버그의 영향력을 정확하게 설명해야 합니다. 단순히 일반적인 영향을 복사해서 붙여 넣는 것이 아니라, 해당 버그가 시스템에 어떤 영향을 미칠 수 있는지 명확하게 설명해야 합니다.

예를 들어, SQL 인젝션의 경우, 데이터 무결성에 미치는 영향, 인증 및 권한 우회의 가능성, 심지어 OS 명령 실행 가능성 등을 설명해야 합니다.

​

6. 마크다운 활용

리포트를 작성할 때는 마크다운을 잘 활용해야 합니다.

헤더, 코드 블록, 강조 표시 등을 통해 리포트를 읽기 쉽게 만들고,

스크린샷과 동영상을 적절하게 포함시켜야 합니다.

​

7. 리포트의 가치 올리기

다른 하위 도메인에서 동일한 버그를 발견하면, 여러 개의 리포트를 제출하기보다는 하나의 리포트로 제출해야 합니다.

예를 들어, 여러 하위 도메인에서 동일한 SSL 취약점을 발견했다면, 이를 하나의 리포트로 정리하는 것이 좋습니다.

또한, 동일한 매개변수의 동일한 버그를 다른 엔드포인트에서 발견했다면, 여러 리포트를 제출하기보다는 하나로 통합하는 것이 좋습니다.

​

8. Exploit Chain 이용하기

버그를 발견하였지만, 해당 버그만으로는 영향도가 높지 않습니다.

심지어 프로그램 제약사항에 따라 포상의 대상이 아닐 수 있습니다.

해당 버그와 다른 버그를 연계해서 더욱 공격을 할 수 있는 시나리오를 확실히 증명하는 것이 좋습니다.

그렇게 한다면 영향도가 높지 않은 취약점이 높은 평가를 받는 경우도 생기게 됩니다.

***

쉬운 예를 들어 설명해 봤는데, 리포트 잘 쓰는 법에 대해 이해가 가시나요~?😁

​

이러한 팁을 활용하면, 보고서가 중복으로 처리되거나 우선순위가 낮아지는 것을 방지하고,

보다 정확하고 효과적인 버그바운티 리포트를 작성할 수 있습니다. 🎈

또한, 버그에 대해 분석하고 연구하게 됨에 따라 개인의 실력향상에도 더욱 도움이 될 수 있습니다.

​

좋은 리포트 작성을 통해 더 많은 보상과 인정을 받으시길 바랍니다.🤍👍🏻

​

버그바운티 보고서 작성에 대해 더 궁금하신 사항이 있으시다면

댓글 남겨주시거나 홈페이지를 방문해주세요 -

​

감사합니다!