Menulis Laporan Vulnerability Findings dengan Baik

Defensive
Menulis Laporan Vulnerability Findings dengan Baik

Sebelumnya saya ucapkan selamat hari raya idul fitri 1440 H, mohon maaf lahir dan batin.
Tidak ada yang sempurna di dunia ini, begitupun tulisan ini.

Semenjak ada program dari BSSN yang berjudul V2DP atau Voluntary Vulnerability Disclosure Program, banyak sekali yang bertanya di forum diskusi maupun grup sosial media tentang bagimana menulis laporan bug yang telah ditemukan dengan baik.
Sedikit tips dari saya untuk menulis laporan dengan baik

Berikanlah judul yang sesuai.

Judul merupakan tulisan yang dibaca pertama kali, maka dari itu tuliskan judul yang mewakilkan seluruh temuan yang telah ditemukan, contoh Stored XSS in Contact Admin, Unrestricted File Upload on Profile Picture Feature, dsb.

Tuliskan semua aset yang terkena dampak ini

Dalam bagian ini perlu dituliskan seluruh asset yang terdampak pada temuan, dapat berupa IP, Domain, Hostame, URL dsb dengan tujuan agar pemilik aplikasi dapat mengetahui aset mana saja yang rentan terhadap serangan yang dilaporkan

Berikan deskripsi singkat tentang temuan tersebut

Deskripsi singkat dapat berupa pemahaman umum terkait celah yang ditemukan seperti contoh, celah yang ditemukan adalah XSS dimana XSS bisa terjadi karena adanya input user yang tidak divalidasi dengan baik sehingga menyebabkan terjadinya ekskusi javascript pada browser korban, lalu dalam deskripsi ini umumnya juga ditambahkan informasi mengenai severity dan score dari CVSS calculator.

Jelaskan bagaimana caranya untuk memproduksi ulang tentang temuan

Bagian ini cukup panjang biasanya karena pada bagian ini penguji harus menjelaskan step by step bagaimana dari awal hingga celah tersebut dapat dilakukan ulang oleh validator secara mendetail

Tuliskan dampak dari temuan tersebut

Di bagian ini umumnya menjelaskan bahwa temuan celah dapat berdampak apa saja pada sistem organisasi maupun pada reputasi organisasi, biasanya konteks Confidentiality, Integrity dan Availability yang paling dilihat namun tidak menutup kemungkinan bahwa kadang ada beberapa celah yang berdampak pada reputasi organisasi dan tidak sedikit juga yang memperhatikan konteks ini.

Berikan cara penanganan

Bagian ini sangat penting karena pada bagian ini penguji diharuskan memberikan tata cara / informasi bagaimana memperbaiki / menutup celah tersebut, dalam beberapa kasus pemilik aplikasi tidak tau bagaimana memperbaiki sebuah celah tertentu sehingga rekomendasi dari penguji dapat menjadi rujukan bahkan dapat menjadi mitigasi perbaikan yang diterapkan.

Berikan saran untuk jangka waktu kedepan

Ini jarang ditulis namun cukup membantu organisasi dalam mencegah terulangnya insiden serupa kedepannya dengan memberikan rekomendasi atau saran jangka pendek dan jangka panjang, dapat dalam bentuk perubahan behaviour programmer, perubahan kebijakan, perubahan dalam deployment CI/CD, atau langkah-langkah pencegahan lainnya yang direkomendasikan.

Laporan yang baik akan menghasilkan sesuatu yang baik, maka dari itu tulislah laporanmu dengan detail dan mudah dipahami sehingga tidak membuat pembaca laporan tersebut kebingungan.