事件處理

發現網站漏洞怎麼回報:讓使用者、研究者與維護者都能安全處理

好的弱點回報包含受影響網址、時間、最小重現步驟、影響與遮蔽證據;維護者則應確認收件、分級、修補、驗證並保持溝通。

發現網站漏洞怎麼回報:讓使用者、研究者與維護者都能安全處理

好的弱點回報包含受影響網址、時間、最小重現步驟、影響與遮蔽證據;維護者則應確認收件、分級、修補、驗證並保持溝通。

01

先停止擴大影響

若意外看到不屬於自己的資料、能繞過權限或讓頁面執行非預期內容,先停止進一步操作。不要為了證明嚴重性下載大量資料、修改他人內容、維持存取或公開尚未修補的細節。

以最小、可逆、無害的方式確認一次即可。保留自己的測試資料與時間,不接觸不必要的真實個資。

02

一封可處理的回報要包含什麼

  • 受影響的完整網址、功能與發現時間。
  • 前置條件,例如是否登入、使用哪種角色與瀏覽器。
  • 最小重現步驟、預期結果與實際結果。
  • 可觀察的影響與必要畫面;敏感欄位先遮蔽。
  • 是否已公開、是否仍可重現,以及聯絡方式。

不要附上真實密碼、Cookie、Token、驗證碼、私鑰或其他人的完整資料。

03

選對聯絡管道

先查看 /.well-known/security.txt 與網站安全頁。Kaelith 的網站技術與安全回報請寄 support@kaelith.tw;一般客服與合作事項使用 service@kaelith.tw。分流能讓技術問題更快進入正確流程。

主旨可包含「安全回報」、受影響功能與初步嚴重度,不要在公開社群貼出可直接利用的網址或步驟。

04

維護者收到後的第一天

先確認收件並提供追蹤編號,不要求回報者重複傳送敏感證據。接著驗證範圍、保存日誌與版本、判斷是否需要立即停用功能、撤銷憑證或加上暫時限制。

嚴重度要看可利用性、權限、資料敏感度、受影響人數與可偵測性,而不只看漏洞名稱。XSS、權限繞過或錯誤設定在不同情境可能有完全不同的風險。

05

修補要處理根因

建立最小測試重現,再修正共同元件或資料流。例如 XSS 應修輸出情境與危險 sink,不能只封鎖單一 payload;IDOR 應補上所有入口的伺服器授權,不只改一條路由。

加入自動回歸測試、檢查相鄰功能,並評估是否已有利用跡象。若資料或帳號可能受影響,依事件流程通知相關人員與主管機關,而不是等公開後才處理。

06

驗證、結案與後續

修補上線後由不同人重測原始步驟與繞過路徑,確認快取、CDN、Service Worker 與所有節點都取得新版。向回報者說明已修正範圍與可公開時間,避免承諾無法做到的時程。

結案記錄原因、影響、時間線、控制缺口與後續工作。若要致謝或公開細節,先取得雙方同意並移除可利用資訊與個資。