[HOW TO] หยุดปีใหม่ว่าง ๆ มาหาช่องโหว่กัน !! – สมัคร Patchstack รายงานช่องโหว่ WordPress

ในช่วงวันหยุดนี้ ใครอยู่บ้านเบื่อ ๆ มาลองหาช่องโหว่ เพื่อรายงานรับเลข CVE และถ้าทำแต้มได้เยอะ ๆ ก็อาจจะได้รับ Bounty ตอบแทนเล็ก ๆ น้อย ๆ ด้วย และในครั้งนี้แอดจะพาเพื่อน ๆ ไปรู้จักกับ Patchstack ครับ

นอกเหนือจากค่าย WordFence ที่รับรายงานช่องโหว่จากปลั๊กอินของ WordPress แล้ว ก็ยังมีค่าย Patchstack ที่รับรายงานและมอบ Bounty ให้เหล่านักเจาะระบบด้วย สำหรับใครที่อยากลองค่าย WordFence ลองไปอ่านบทความของแอดได้ (คลิกที่นี่) ส่วนใครที่อยากลอง Patchstack ไปกันต่อเลยครับ

วิธีสมัคร Patchstack

วิธีรายงานช่องโหว่ของค่ายนี้จะแปลก ๆ นิดนึง คือ เบื้องต้นเรายังไม่ต้องสมัครสมาชิกใด ๆ ครับ แต่ให้เราส่งรายงานช่องโหว่ได้เลยผ่านลิงก์นี้ https://patchstack.com/bug-bounty แล้วคลิกที่ Report Vulnerability

ในหน้าส่งรายงาน จะมีข้อมูลเบื้องต้นให้เรากรอก ได้แก่ Researcher คือชื่อที่เราจะให้แสดงในฐานข้อมูลช่องโหว่ และ E-mail คืออีเมลที่เราจะใช้ลงทะเบียน

เมื่อกรอกข้อมูลเสร็จแล้ว เลื่อนลงมาพาร์ทด้านล่างก็จะเป็นจุดให้เราส่งรายงานช่องโหว่ ก็จะคล้าย ๆ กับการส่งรายงานช่องโหว่ใน WordFence เลยครับ

เมื่อกดส่งรายงานเรียบร้อยจะมีอีเมลส่งมายืนยันว่าเราได้ส่งรายงานช่องโหว่ เท่านี้ก็เป็นการสมัครสมาชิกแล้วครับ

แล้วจะได้เป็นสมาชิกตอนไหน? นี่แหละครับคือจุดที่แตกต่างไปจาก WordFence หลังจากที่เราส่งรายงานไปแล้ว จะต้องรอให้ทาง Patchstack ตรวจช่องโหว่ให้เรียบร้อยก่อน โดยจะมีอีเมลส่งมาว่า Validate นั่นแปลว่าเขารับเราเข้าสู่การเป็นนักเจาะระบบของเขาแล้ว

ถ้าได้รับอีเมลแล้ว และเราจะล็อกอินเข้าไปดูโปรไฟล์ของเรา จะต้องเข้าผ่านลิงก์นี้ https://vdp.patchstack.com/researchers/login แล้วกรอกอีเมลเดียวกับที่เราใช้เมื่อตอนส่งรายงาน จากนั้นระบบจะส่งอีเมลที่มีลิงก์ล็อกอินมาให้เราอีกทีครับ

เท่านี้เราก็จะเข้าถึงโปรไฟล์บน Patchstack ได้แล้ว ถ้าจะส่งรายงานใหม่ก็กด New Report ได้เลย

การออกเลข CVE เป็นอย่างไร

ค่ายนี้จะแตกต่างจาก WordFence ตรงที่จะไม่ออกเลข CVE ให้ทันทีแม้จะยืนยันช่องโหว่ได้แล้ว แต่จะออกเลขให้หลังจากที่ช่องโหว่ได้รับการเผยแพร่ หรือ Publish แล้ว แถมบางครั้งระบบก็ไม่โชว์เลขให้ ต้องไปค้นหาชื่อของเราในฐานข้อมูล CVE ของ Mitre เองด้วย

Patchstack vs. WordFence ในการให้ Bounty

ในค่าย WordFence จะมีข้อมูลการให้ Bounty ที่ค่อนข้างชัดเจนครับ แต่สำหรับของ Patchstack จนถึงตอนนี้แอดก็ยังไม่เข้าใจระบบการให้ Bounty ของเขาเลย แต่เท่า ๆ ที่ทราบ คือ ต้องรายงานช่องโหว่ปลั๊กอิน WordPress ที่มียอดการติดตั้งอย่างน้อย 50 ครั้งขึ้นไป ถึงจะนับคะแนนเพื่อมอบเงินให้ครับ

เอาเป็นว่าแอดไม่สนใจว่าเขาจะให้ Bounty เท่าไรละกัน เพราะอย่างน้อย ๆ แอดก็ได้มา 52.25 ดอลลาร์ทุกเดือน ถือว่าเป็นเงินกินขนม ส่วนถ้าจะเก็บ Bounty จริง ๆ แอดก็จะไปส่งให้กับค่าย WordFence แทน