Hello there, ('ω')ノ
1. 主要 6 パターンと内訳
| 判定 | 意味 | 主な理由 |
|---|---|---|
| Triaged → Resolved / Fixed | 有効・修正完了・報酬確定 | 技術 + 影響説明が充分 |
| Duplicate | 同内容が先に報告済み | 人気ターゲット・簡単バグ・レスポンス遅延 |
| Informative / Not Applicable | 参考情報扱い・対象外 | 影響が限定的 / ルール外 / 再現できず |
| Severity Down | 重大度を下げて報酬減額 | ビジネス影響が想定より小さい |
| Needs More Info | 追加情報待ち | PoC 不備・環境差異・再現手順不足 |
| Out of Scope / Spam | 対象外・レベル外 | スコープ誤認・自動スキャン丸投げ |
2. Duplicate になりやすいケース & 回避策
| ケース | 原因 | 回避策 |
|---|---|---|
| 公開プログラムで浅い XSS | 競合多数・自動ツールで検出可 | Private 招待 & 深掘りバグへ挑戦 |
| 報告までに 2–3 日放置 | 他のハンターが先に提出 | 証拠保全後 即ドラフト提出 |
| バリエーション違いを同一扱い | パス違いでも同じ根本原因 | 差分を説明 → Duplicate Appeal 申請 |
3. Informative =「あと一歩足りない」のサイン
- 技術的事実 は正しい
- しかし “悪用ストーリー” が弱い
- 企業が「リスク低」と判断 → 情報参考としてクローズ
改善ポイント
- 攻撃シナリオ図+タイムラインを追記
- 類似インシデントの被害額を引用
- PoC をワンクリック化
4. Severity Down/Up の舞台裏
| 判定 | 評価基準 | ハンターの対策 |
|---|---|---|
| Down | ビジネス影響小・緩和策あり | 影響の数値化、迂回例を提示し再交渉 |
| Up | 横展開が容易・PR/法令リスク大 | PII/財務情報の漏えい、リモートRCE |
例:CSRF
- 単なるプロフィール更新 → Medium
- 同 CSRF で 管理者権限奪取 → High/Critical
5. Needs More Info で止まったら?
企業コメントを精読
- 再現環境? 追加ログ?
- 24h 以内に補足
- 期限や SLA を再確認
- それでも回答が来なければ 3~5 日でリマインド
“放置” が長引くと「熱量が低いハンター」と判断されるので要注意。
6. Out of Scope 判定を防ぐ 3 ステップ
スコープページを再読
- ドメイン表記は
example.comか*.example.comか
- ドメイン表記は
- ベータ・ステージング環境は OK?
- DoS, Rate Limit は禁止?
疑わしいときは 事前に問い合わせ。 ルールに「迷ったら聞け」と書いてあるプログラムが大半です。
7. 判定に納得できないときの“スマート抗議”
Hi team, Thank you for your assessment. I believe the impact might have been underestimated. Here is additional evidence showing account takeover by chaining this bug with the existing password-reset flow. Could you please reconsider the severity?
- 冷静なトーン+追加証拠
- 感謝 → 反証 → 再考依頼 の順
8. まとめ:判定理由を学習し“次”の成功率を上げる
- Duplicate → スピード&独自深掘り
- Informative → ビジネス影響を数字で補強
- Severity Down → 追加 PoC で横展開を示す
- Needs Info → 迅速レスで熱意アピール
- Out of Scope → 事前確認で回避
判定はフィードバックの宝庫。 一喜一憂せず“なぜ?”を掘り下げ、次のレポートに反映しましょう!
Best regards, (^^ゞ
