Rapor puanı nasıl hesaplanır
Avcıların sıralamasıBu bölümde rapor puanının nasıl hesaplanacağını açıklıyoruz.
Rapor puanı nasıl hesaplanır?
Raporların puanlaması, raporlamanın kalitesine odaklanarak yapılır.
Avcı, rapor kaydetme sırasında zorunlu bölümler (başlık, rapor senaryosu ve açıklaması, faaliyet süresi, inceleme sırasında avcının IP adresi) ve isteğe bağlı bölümler (URL'ler, CVSS değeri, güvenlik açığı hassasiyeti, güvenlik açığı kategorisi, çözüm ve dosya eki) ile karşılaşır. Her bölüm için, konuya uygun bir puan belirlenmiştir. Bölümlerin toplam puanı, raporun nihai puanını oluşturur.
Aşağıda, her bölümün özel puanlama kriteri ve puan miktarını daha ayrıntılı olarak açıklayacağız:
Başlık bölümü:
Raporun başlığının, içeriğiyle açıklayıcı ve ilgili olması temel kriterdir.
Raporun başlığına verilen puanlar 0 ve 1 arasındadır.
Açıklayıcı ve içeriğiyle ilgili başlık: 1 puan
Açıklayıcı olmayan, yetersiz veya içeriğiyle ilgisiz başlık: 0 puan
Rapor senaryosu ve açıklaması bölümü:
Bu bölümde, güvenlik açığının nasıl keşfedildiğini ve nasıl istismar edilebileceğini açıklayan ayrıntılı bir açıklama yer almalıdır.
Rapor senaryosu ve açıklaması bölümüne verilen puanlar 1, 2, 3 ve 4 arasındadır.
Rapor senaryosu ve açıklaması bölümüne puan verilirken aşağıdaki kriterler dikkate alınır:
- Atakların adım adım yeniden üretilmesi için gerekli tüm bilgileri içeren eksiksiz bir açıklama: 1 puan
- Açık ve anlaşılır bir açıklama: 1 puan
- Raporda kullanılan isteklerin belirtilmesi: 1 puan
- Rapor edilen güvenlik açığının etkisinin açıklanması: 1 puan
Not: Yukarıdaki açıklamalara göre, ifadesi akıcı ve açık olmayan raporlar, en fazla 3 puan alabilir.
"Daha fazla bilgi gerektiren" raporlar hakkında
Eğer "Rapor senaryosu ve açıklaması" bölümünde yeterli açıklama yoksa, rapor Strecan jüri ekibi tarafından "Daha fazla bilgi gerektiren" durumuna alınır. Daha sonra avcı, bilgileri eklemek için belirli bir süreye sahip olur. Avcı tarafından bilgiler tamamlandıktan sonra bu bölüm değerlendirilir ve puanlandırılır.
Bu raporlar, yalnızca "Rapor senaryosu ve açıklaması" bölümünden 1 ila 2 puan alabilirler.
Tekrarlanan raporlar hakkında
Tekrarlanan raporlar için "Rapor senaryosu ve açıklaması" bölümünden puan alma kriteri, raporun senaryosunun referans (daha önce gönderilen) raporla karşılaştırıldığında aynı veya farklı olmasıdır.
Tekrarlanmayan senaryolar, "Rapor senaryosu ve açıklaması" bölümünden 2, 3 veya 4 puan alır.
Referans raporla aynı senaryoya sahip tekrarlanan rapor: 2 puan
Referans raporla farklı senaryoya sahip tekrarlanan rapor: 2, 3 veya 4 puan
Tekrarlanan raporlar değerlendirilirken, jüri ekibi öncelikle "Rapor senaryosu ve açıklaması" bölümünü inceler:
- Raporun senaryosu tekrarlıysa, "Rapor senaryosu ve açıklaması" bölümünden yalnızca 2 puan verilir. Raporun diğer bölümleri değerlendirilmez ve hiçbir puan almaz.
- Raporun senaryosu farklıysa, "Rapor senaryosu ve açıklaması" bölümünden 2, 3 veya 4 puan verilir. Raporun diğer bölümleri de değerlendirilir ve içeriklerine göre puan alır. Ancak, puanlar toplandıktan sonra, rapora verilen toplam puan 4'e bölünür.
Faaliyet süresi bölümü:
Bu bölüm, puanlama sürecinde puan almaz.
Ancak, güvenlik analizi sırasında işletmede bir siber suç meydana geldiğinde veya faaliyetle ilgili logların daha fazla incelenmesi gerektiğinde, doğru faaliyet süresinin kaydedilmesi çok önemlidir.
İnceleme sırasında avcının IP adresi
IP adresi için puanlama kriteri, girilen IP adresinin doğru olmasıdır.
IP adresi için düşünülen puan aralığı: 0 ve 1
Yanlış IP adresi (özel IP adresi veya kabul edilemez IP adresi dahil): 0 puan
Doğru IP adresi: 1 puan
URL'ler bölümü:
URL'ler için puanlama kriteri, girilen URL'lerin senaryoya ve açıklamaya uygun olmasıdır.
URL'ler için düşünülen puan aralığı: 0 ve 1
İlgili ve rapor açıklamasına uygun URL: 1 puan
İlgili olmayan ve rapor açıklamasına uymayan URL: 0 puan
URL belirtilmemesi: 0 puan
CVSS değeri bölümü:
CVSS değeri için puanlama kriteri, avcının CVSS değerini doğru hesaplamasıdır.
CVSS değeri için düşünülen puan aralığı: 0, 1, 2, 3
Avcının hesapladığı CVSS değeri, jüri ekibi tarafından hesaplanan CVSS değerine eşit veya yakınsa: 3 puan
Avcının hesapladığı CVSS değeri, jüri ekibi tarafından hesaplanan CVSS değerinden uzaksa: 1 veya 2 puan
Avcı CVSS değerini bildirmezse: 0 puan
Ciddiyet bölümü:
Bu bölümün açıklamasında belirtildiği gibi ciddiyet otomatik olarak hesaplanır ve herhangi bir puan içermez
Güvenlik açığı sınıflandırması
Puantaj kriteri: Avcının, sunulan sınıflandırmalardan, bildirilen güvenlik açığı için uygun sınıflandırmayı seçmesidir.
Güvenlik açığı sınıflandırması için düşünülen puan aralığı: 0 ve 1
Doğru sınıflandırma seçimi: 1 puan
Yanlış sınıflandırma seçimi: 0 puan
Çözüm
Puantaj kriteri: Avcının sunduğu çözümün geçerliliği ve verimliliğidir.
Çözüm için düşünülen puan aralığı: 0, 1, 2, 3
Genel ve kapsamlı bir çözümün yanı sıra özel, eksiksiz ve yüksek doğrulukta bir çözüm sunulması: 3 puan
Özel, eksiksiz ve yüksek doğrulukta bir çözüm sunulması: 2 puan
Genel ve kapsamlı bir çözüm sunulması: 1 puan
Çözümün sunulmaması: 0 puan
Dosya eki
Puantaj kriteri: Güvenlik açığının varlığının kanıtlanmasında kullanılan belgelerin ve kanıtların (fotoğraf, metin dosyası ve video) sunulmasıdır.
Dosya eki için düşünülen puan aralığı: 0, 1, 2, 3, 4
Raporun kanıtlanmasında kullanılan fotoğraf + metin dosyası (1 puan)
Raporun kanıtlanmasında kullanılan video (1 ila 3 puan)
Videonun gönderilmesi (1 puan)
Videonun tüm senaryosunu ve raporlama sürecini net bir şekilde göstermesi (2 puan)
Videonun hedeflenen standartlara uygun olması (3 puan)
Jüri Özel Puanı:
Puantaj kriteri: Raporun genel kalitesi ve jürinin rapordan anladığıdır.
Özel hakem puanı için düşünülen puan aralığı: 0, 1 ve 2'dir.