https://www.zdnet.com/article/these-are-common-problems-that-cause-headaches-for-bug-bounty-participants/#ftag=RSSbaffb68
脆弱性レポートが断片的に作成されることは、かつては一般的な慣習でした。
それは一般的な電子メールまたは電話によるものである可能性があり、一部の組織はバグレポートに惑わされたり、否定的な反応を示したりします。
会社の侵入テスターはバグを開示しようとしますが、頻繁なコミュニケーションの欠如は「時間のかかるプロセス」と見なされます組織に確立されたバグ報奨金プロジェクトがない場合、研究者はLinkedInやソーシャルに至るまで複数のチャネルを試していることに気付く可能性がありますメディアから一般的な電子メールアドレスおよび販売チャネルへ。
「範囲内」および「範囲外」のバグは、開示プロセスの一般的な機能です。
DeWallは、SSRF / IDORのバグが「範囲外」であり、したがって提出が受け入れられない場合、ホワイトオークはこの「複数の」例に遭遇したと述べています。
これらは、バグバウンティハンターにとって頭痛の種となる問題です。
security summary
コメント