防止重复和重复漏洞赏金提交成本的增长

什么是重复提交？

在漏洞赏金行业中，重复提交指的是两名或更多研究人员报告相同问题或漏洞的情况。

当与漏洞赏金平台合作的研究人员发现漏洞时，他们会向平台（如Intigriti）提交报告进行审核。如果该问题已被报告，则会被标记为重复。

观察重复提交还可以显示研究人员在哪里发现相同的漏洞，这可能表明漏洞的可发现性更高，因此可能是优先处理观察到问题的关键指标。

有时，重复提交可能被标记为"接受的重复"，以承认虽然其他人首先报告了该漏洞，但这个漏洞是有效的，并有助于识别系统、程序或环境中的真实漏洞。

通常，如果提交具有相同的根本代码原因，则可以被标记为重复。如有疑问，请自问第一个报告的修复是否也会修复其他报告。如果需要应用两个修复，例如在两个不同的端点上，则提交不会被视作重复，因为一个修复不会阻止第二个漏洞被发现。

— Inti De Ceukelaire, Intigriti首席黑客官

阅读《重复、相关或已知漏洞报告》获取更多识别重复的研究技巧。

如前所述，重复提交是指黑客报告漏洞，但该漏洞已被发现，并且仍在修复中或正在修复过程中。这些被标记为Dupes并且不会获得奖励。

另一方面，重复提交是指黑客提交了请求。该提交已被修复，但针对同一漏洞又进行了另一次提交。这表明漏洞未被修复，或者再次被破坏。

以下是重复提交的两个示例：

IT安全团队已通知开发团队修复报告的漏洞。工作流程工单已关闭。但事实证明部署并未修复该问题。一段时间后，黑客再次利用该漏洞。
部署修复了报告的问题，但后续的另一个发布再次打开了风险。这在每周有许多发布的大型组织中尤为明显。在这里，确保相同漏洞不再发生可能更加困难，更不用说跟踪它们何时发生。

组织的一个重要成本是可能为多个接受的重复和重复提交支付费用。如果多名研究人员在同一时间段内提交相同问题，可能导致为同一个单一漏洞支付多次费用，这可能会引起挫败感。

我们最近的分析发现，平均有3%的程序报告漏洞之前已被处理但后来重新出现。这正在给公司带来成本，并使风险对恶意黑客开放。我们一直在与研究社区和客户合作，增加重测采用率，以便我们的客户可以更信任安全覆盖范围，并且漏洞不会再次出现。

— Greg Jenkins, Intigriti产品负责人

重复不仅给企业带来挫败感，研究人员在提交被标记为重复而没有解释时同样会感到气馁。

在没有适当解释或理由的情况下将提交标记为重复，可能会导致研究人员转向另一个程序。公平并与研究人员开放沟通将在长期内对您的程序产生积极影响。

— Inti De Ceukelaire, Intigriti首席黑客官

使用其最新的Dedupe AI模型，Intigriti分析了已关闭且假定已修复的报告的重复提交数量。目的是查看有多少提交已关闭但要么未修复，要么漏洞再次出现。

这为重测打开了可能性。

提交重测指的是评估先前报告的漏洞以确定是否已成功缓解和/或解决的过程。重测并非Intigriti独有，但团队进行了一些分析，显示平均有3%的提交（在某些情况下为8%）是针对重新出现的漏洞，这可能会变得昂贵。

重测不能提供保证，但有助于确保您有一个安全流程，其中漏洞不会再次出现。因为毕竟，持续监控公司所有发布确实非常困难。

由于公司面临快速发展和创新以保持竞争力的压力，漏洞会再次出现。重测通过降低重复漏洞的成本来提高赏金效率，为初始黑客提供额外的低努力重测奖励，并确保持续的漏洞保证。

— Greg Jenkins, Intigriti产品负责人

重测完全由研究人员自行决定进行，通常一旦突出显示修复，会提供小额奖金以验证修复。目前，几乎95%的所有重测请求已完成。

随着AI技术的进步，漏洞赏金计划将能够标记重新出现的漏洞，并提示客户在调查时开启重复重测。

您计划的最佳资源是拥有一批忠诚的研究人员，他们一次又一次地回来发现新的、更复杂的问题。

— Inti De Ceukelaire, Intigriti首席黑客官

如果您正在部署修复但没有能力、专业知识或工具进行重测，Intigriti可以提供帮助。向研究人员请求重测，他们将检查漏洞是否仍然可重现和已解决。在此处阅读更多相关信息。

如有任何漏洞赏金问题，请联系Intigriti与团队成员交谈。

作者
Eleanor Barlow
高级网络安全技术作家