Escrever um bug report de qualidade é uma arte que todo bughunter precisa dominar. Afinal, de nada adianta encontrar uma vulnerabilidade importante para as empresas, mas deixar a desejar na hora de explicar e traduzir a técnica utilizada na exploração, para um relatório onde do outro lado uma pessoa consiga entender seu mindset e a vulnerabilidade explorada.

Escrever um bom bug report faz toda a diferença na hora de demonstrar às empresas a criticidade do bug, o que pode, inclusive, aumentar a sua recompensa!

Quer saber como escrever um bug report de qualidade? Siga lendo!

O que é um bug report?

Quando um bughunter encontra uma vulnerabilidade em um programa de Bug Bounty, deve escrever um relatório para divulgar suas descobertas.

De modo geral, o bug report deve trazer algumas informações essenciais, como:

  • onde o bug foi encontrado (escopo);
  • quem ele afeta (empresa, clientes, usuários ou público no geral);
  • qual impacto a vulnerabilidade gera para a organização ;
  • fornecer um passo-a-passo para a reprodução da falha;
  • fornecer informações para a Prova de Conceito através de imagens ou vídeos;
  • fornecer referências sobre a vulnerabilidade e possíveis correções.

Como escrever um bug report?

O seu relatório pode ser tão completo quanto você desejar, mas deve conter, no mínimo, as seguintes informações:

Título

O título do seu relatório deve descrever o tipo de bug encontrado, onde foi encontrado e o impacto geral dele. Isso agiliza o processo de triagem e facilita o entendimento do contexto do bug. Por isso, evite títulos muito genéricos que não dão nenhuma pista sobre a vulnerabilidade encontrada.

Por exemplo, títulos genéricos como “o sistema travou” não informam absolutamente nada sobre a vulnerabilidade, nem como ela foi encontrada, onde ou como resolvê-la. Um bom título para este mesmo problema poderia ser:

“Vulnerabilidade  XXX ao gerar PDF do relatório Y; Tela de cadastro Z”

Severidade técnica

Dependendo da severidade técnica do bug, diferentes prioridades são definidas para ele. Um bug pode ter as seguintes severidades: Não informada, Baixa, Média, Alta, Crítica. A partir destas criticidades, as empresas saberão quais os bugs mais severos que elas devem resolver primeiro.

Detalhes da vulnerabilidade

Esta será uma das seções mais longas e importantes do seu bug report. Ela deve conter:

  • Escopo do bug: escopo onde você descobriu o bug.
  • Descrição: seu bug report deve incluir etapas de replicação descritivas, para que a empresa possa reproduzir e validar as suas descobertas.
  • Informações adicionais: forneça detalhes e contextos adicionais ao bug report. Explique o que você descobriu e descreva o risco e impacto do bug para a empresa, também forneça materiais de apoio para a empresa, onde poderão se aprofundar no tipo de vulnerabilidade..
  • Capturas de tela ou vídeos: forneça provas de conceito (PoC) da vulnerabilidade encontrada adicionando capturas de tela ou vídeos no seu bug report.

Passos para reproduzir

Todo bug report precisa ter um passo a passo para reprodução do bug. Neste passo é fundamental que você mesmo consiga reproduzir a vulnerabilidade seguindo os passos, então garanta que eles sejam específicos e fáceis de seguir.

Afinal, um bug que não pode ser reproduzido é um bug que não pode ser corrigido.

Prova de conceito (PoC)

A Prova de Conceito ou Proof of Concept (PoC) em inglês, é um modelo prático que tenta provar um conceito teórico através de uma pesquisa, artigo ou implementação. No caso do Bug Bounty, a PoC se refere ao desenvolvimento de uma ferramenta prática para provar a vulnerabilidade de um sistema.

Você pode fazer isso de diversas formas, seja anexando scripts, capturas de tela, gravações de tela ou outras provas que você tenha da vulnerabilidade encontrada. Isso torna o seu bug report ainda mais assertivo!

Por que é importante escrever um bug report de qualidade?

Escrever um bug report sem pensar em quem vai lê-lo pode ser um tiro no pé. Pense da seguinte forma: se você não especificar informações importantes sobre a vulnerabilidade, ela pode ser considerada menos severa e, por consequência, diminuir o valor da sua recompensa.

Outros motivos para investir mais tempo escrevendo seu bug report e deixando-o com maior qualidade são:

Um bug report de qualidade acelera o processo de triagem

Os analistas de triagem precisam ler dezenas de relatórios todos os dias. Por isso, ao escrever um bug report insatisfatório, ele levará muito mais tempo para entender, reproduzir as etapas e avaliar o impacto do bug.

De outra forma, se você investir mais tempo escrevendo um bug report de qualidade utilizando boa comunicação, explicando claramente as etapas de reprodução e o impacto que o bug teria para a empresa, o analista de triagem avaliará mais rapidamente seu relatório.

Portanto, você recebe uma resposta positiva o mais rápido possível, sem ter que responder dezenas de perguntas e comentários e, é claro, recebe também sua recompensa mais rapidamente.

Um bom bug report pode aumentar suas recompensas

Escrever bons relatórios pode aumentar as suas recompensas de duas maneiras diferentes:

Em primeiro lugar, se você escrever um bug report de qualidade, as equipes que os receberem precisarão pedir menos informações sobre os relatórios, o que garante mais tempo para que você procure novos bugs.

Em segundo, muitas empresas podem pagar bônus se o seu relatório auxiliá-las a corrigir o problema de forma rápida e eficiente.

Bons reports valorizam suas habilidades de hacking

Quando você domina a habilidade de comunicar suas descobertas de bugs de forma clara e estruturada, você agrega valor aos seus relatórios.

Isso é especialmente útil quando você quer mostrar as suas habilidades, podendo inclusive adicionar um link para seus relatórios divulgados no seu currículo. Esta é uma excelente forma de mostrar às pessoas que você não apenas encontra bugs, mas também sabe comunicá-los aos desenvolvedores de forma que os ajude a corrigir as vulnerabilidades rapidamente.

Dessa maneira, você terá muito mais chances de ser contratado, em comparação a outros candidatos.

Dicas importantes para escrever seu bug report

Como você percebeu até aqui, escrever um bug report de qualidade traz diversas vantagens tanto para o bughunter, quanto para a empresa.

Veja estas dicas importantes para escrever um bug report de qualidade:

Apenas uma vulnerabilidade por relatório

É comum que, quando estiver fazendo os testes na plataforma de Bug Bounty, você acabe encontrando mais de um bug por sistema. No entanto, é fundamental que você não reporte mais de um problema por relatório.

Fazendo isso você pode confundir o desenvolvedor e dificultar a correção do bug. Além disso, as equipes podem se dividir entre bugs, deixando as vulnerabilidades mais difíceis para profissionais com mais experiência, por exemplo.

Por isso, mesmo que os bugs estejam relacionados, mas contando que sejam vulnerabilidades diferentes, reporte cada um deles em um relatório diferente. Isso facilita a vida dos desenvolvedores e acelera a sua recompensa.

Dê um contexto

Não se esqueça de dar um contexto sobre o bug. Quanto mais informação seu relatório tiver, melhor para o time de desenvolvedores, para a empresa e para você.

Um bom contexto pode conter:

  • Como a vulnerabilidade pode impactar;
  • Se a vulnerabilidade pode ser porta de entrada para mais vertentes de ataques;
  • Se existe a possibilidade de combinar a vulnerabilidade encontrada com outra, e isso pode tornar o bug muito mais crítico;
  • Riscos de não tratar a falha;
  • Se foi possível ter acesso a algum dado sensível.

Respeite as regras do escopo

A primeira coisa que os analistas de triagem fazem quando recebem um bug report é verificar se o relatório está dentro do escopo. Em outras palavras, vão garantir que as vulnerabilidades listadas estejam dentro da política do programa.

Se estiver fora do escopo, seu relatório corre o risco de ser encerrado, sem que você seja recompensado ou ao menos ganhe pontos para elevar sua reputação na plataforma. E caso seu relatório seja analisado e encerrado como Spam, você poderá perder pontos na plataforma, diminuindo assim a sua reputação.

Portanto, verifique sempre a política do programa antes de caçar os bugs e escrever o seu bug report.

Adicione informações extras

Se depois de ter entregado o seu relatório você perceber que esqueceu de mencionar um detalhe importante, ou acabar descobrindo que os riscos do bug são menos (ou mais) severos do que você imaginou a princípio, adicione mais informações!

É melhor adicionar um comentário e explicar a situação do que deixar como está e afetar a sua reputação como bughunter. Além disso, a equipe será eternamente grata a todas as informações extras que você lhes fornecer, já que isso economiza tempo e dinheiro.

Utilize referências

As referências facilitam o trabalho de todo mundo! Por isso adicione links para recursos externos como artigos de blog, relatórios divulgados, estudos de caso ou outras informações que possam embasar seus relatórios.

O seu objetivo principal em um bug report é auxiliar a equipe a entender e corrigir o problema. Utilizar referências sobre o tipo de vulnerabilidade encontrada é de grande ajuda nesse objetivo.

Seja um bughunter

Agora que você já sabe como escrever um bug report de qualidade, que tal conhecer a BugHunt?

Somos a primeira plataforma colaborativa de recompensa por bugs do Brasil. Com a gente você se cadastra gratuitamente para buscar e relatar os bugs detectados para as diversas empresas participantes!

Faça a diferença protegendo os ambientes das empresas e tornando a internet mais segura. Participe e trabalhe ao lado de alguns dos melhores bughunters do Brasil!

Clique aqui e comece agora!