什么是重复提交?
在漏洞悬赏行业中,重复提交指两名及以上研究人员报告相同问题或漏洞的行为。当研究人员通过悬赏平台(如Intigriti)提交漏洞报告后,平台会进行审核。若该问题已被报告,则会被标记为"重复"。
重复提交现象同时反映了漏洞的可发现性较高,这可能是优先处理该问题的重要指标。某些情况下,重复报告会被标记为"已接受重复",以承认漏洞有效性及其对系统安全的贡献。
通常,若多个提交具有相同的代码层根本原因,则可标记为重复。Intigriti首席黑客官Inti De Ceukelaire指出:“若对首份报告的修复能同时解决其他报告,则属于重复提交。例如需在两个不同端点分别修复,则不构成重复。”
重复提交与再次提交的区别
重复提交指黑客报告的漏洞已被发现且正在修复流程中,此类提交标记为"Dupes"且无奖励。而再次提交指漏洞曾被修复但重新出现,表明修复未生效或漏洞被重新触发。
两种典型场景:
- IT团队部署修复后漏洞仍存在,黑客再次利用
- 后续版本更新重新引入相同漏洞(常见于每周多次发布的大型企业)
重复提交的财务影响
企业可能因多次支付相同漏洞的奖励而产生显著成本。数据显示,平均3%的已报告漏洞属于已修复但重现的问题,这不仅造成资金浪费,还使企业持续暴露于恶意攻击风险中。
Intigriti产品负责人Greg Jenkins表示:“我们正通过与研究人员和客户合作推广重测机制,以增强安全覆盖可信度。”
对研究人员的影响
缺乏合理解释的重复标记会挫伤研究人员积极性,可能导致其转向其他项目。长期而言,保持公平性和透明沟通对项目健康发展至关重要。
Intigriti平台如何降低重复提交并提升ROSI?
平台采用最新Dedupe AI模型分析已关闭报告中的重复提交,识别未真正修复或重现的漏洞。重测机制可验证修复有效性,数据显示平均3%(最高8%)的提交属于漏洞重现。
重测虽不能完全保证漏洞不复发,但能有效建立防复发安全流程。Jenkins强调:“在企业快速迭代的压力下,漏洞重现不可避免。重测既能降低复发成本,又能为研究人员提供低投入的额外奖励。”
目前近95%的重测请求已完成,且完全由研究人员自主决定是否参与。
强化漏洞悬赏计划的后续措施
随着AI技术发展,悬赏计划将能自动标记重现漏洞并提示客户启用周期性重测。De Ceukelaire指出:“项目的核心资源是忠诚的研究人员群体,他们能持续发现新型复杂漏洞。”
对于缺乏重测能力的企业,Intigriti支持委托研究人员进行漏洞修复验证。如需咨询漏洞悬赏相关问题,可联系平台团队获取专业支持。
作者:Eleanor Barlow
高级网络安全技术文档工程师