Hello there, ('ω')ノ
1. 発見直後:まずは“冷静に深呼吸”
| やること | 理由 |
|---|---|
| 画面・レスポンスを即スクショ | 後から再現できないケースに備える |
| Burp / Postman のリクエストを保存 | 証拠ログは“改ざん不能”が基本 |
| プログラム範囲・ルール再確認 | スコープ外/禁止行為の可能性を排除 |
テンション爆上げで SNS 投稿 → 一発アウトです。 まずは“証拠保全とルール確認”を自動化レベルで。
2. 再現手順を最短化
- 新規ブラウザ・シークレットウィンドウ
- テストアカウント or 未ログイン状態
- コマンドまたは 3 ステップ以内のクリック操作
「再現に5分かかる PoC」はトリアージ担当がスルーしがち。 “30秒でアラートが出る” をゴールに磨きましょう。
3. 報告テンプレート“黄金構成”
| セクション | 書く内容 | 目安 |
|---|---|---|
| 概要(Summary) | どの機能で何が起きるか一文 | 140字以内 |
| 再現手順(Steps) | 手順番号+URL+パラメータ | 3〜5行 |
| 結果(Result) | 画面・JSON・Shell 出力など | スクショ添付 |
| 期待挙動(Expected) | 本来は 403, エラー etc. | 1行 |
| 影響度(Impact) | アカウント乗っ取り、RCE 等 | ビジネス損害も補足 |
| 修正提案(Optional) | 入力バリデーション、RBAC など | あれば評価UP |
“概要 → 再現 → 修正” の順にすらすら読めるとトリアージ通過率が劇的に上がります。
4. PoC の添え方:スクショ+テキスト 2 点セット
- スクリーンショット:脆弱性発生瞬間を赤枠で強調
- テキストログ:Burp request / response を
- Authorization: Bearer user
+ Authorization: Bearer admin
のように差分表示
※動画は QA 担当が自社ネットワークで再生できない可能性があるため“オプション扱い”が安全。
5. コミュニケーション 5 か条
- 敬語+呼び捨て禁止
- Exploitable かつ Safe な PoC のみ提出(実データ削除)
- 脆弱性名 + OWASP/ CWE 番号 を明記(共通言語化)
- 感情表現を入れすぎない:「超ヤバい」は“High/Critical”で十分
- 進捗催促は最短でも 7 日後(プログラム SLA に従う)
6. 修正後の“Retest”で二度おいしい
- 修正連絡が来たら 必ず再度 PoC 実行
- Fix 確認 → “Validated” レポート → 追加報奨 or Reputation UP
- 未修正なら 手順そのまま+新スクショでリオープン
Retest 報酬が無いプログラムでも「品質向上に貢献」→招待プライベート案件への近道です。
7. よくあるNGパターンと対策
| NG | 結末 | 代替行動 |
|---|---|---|
| 曖昧な説明「なんか変です」 | “Informative”で終わり | 具体的データ・差分を記載 |
| 巨大ZIPでログ一式送付 | 担当が開かず放置 | 重要ログを抜粋+Pastebin/Gist 共有 |
| 公開 Issue で報告 | 即プログラム追放 | 必ずプライベートチャネル利用 |
8. まとめ:“バグ発見”はゴールではなくスタート
- 証拠保全 → 手順最短化 → ルール準拠 の 3 点セット
- 読む側を意識した 「黄金テンプレ」 で書く
- 再テストと丁寧なやり取りが 次の招待・高額報酬 を呼ぶ
バグ報告は 技術 × ライティング × マナー の総合格闘技。 この記事をチェックリスト代わりに、確実にスコアと信頼を積み上げていきましょう!
Best regards, (^^ゞ
