Mozillaの報奨金制度で200万円ほど稼いだ話

5,031 views

Published on

「第55回 HTML5とか勉強会」の発表資料です

Published in: Technology

Mozillaの報奨金制度で200万円ほど稼いだ話

  1. 1. Mozillaの報奨金制度で 200万円ほど稼いだ話 第55回 HTML5とか勉強会 2015年3月12日 Welcome to the Black Hole of Bug Bounty Program –VERIFIED FIXED-
  2. 2. にしむねあ Weekend Bug Hunter Lecturer of Security Camp 2014
  3. 3. Firefox OSコミュニティから来ました http://itpro.nikkeibp.co.jp/atcl/column/14/508663/020900007/
  4. 4. コミュニティは社会の縮図
  5. 5. コミュニティは社会の縮図 食っていけるやつ そうでないやつ
  6. 6. コミュニティは社会の縮図 食っていけるやつ そうでないやつ おれら
  7. 7. "フォクすけ" (C) 2006 Mozilla Japan そんなおれらの新しい生き方 Mozillaのセキュリティバグ報奨金制度
  8. 8. https://www.mozilla.org/en-US/security/bug-bounty/
  9. 9. • 重大なセキュリティバグを発見した人に Mozillaが報奨金を支払う制度 • バグ1件につき最高3000ドル(約30万円)
  10. 10. "フォクすけ" (C) 2006 Mozilla Japan どのくらい儲かるの?
  11. 11. この5か月間で17,500ドル 2014.11 $3000 Bug 1069762 2014.12 $6000 Bug 1101158 Bug 1102204 2015.01 $2500 Bug 1065909 Bug 1106713 2015.03 $6000 Bug 1109276 Bug 1111834
  12. 12. "フォクすけ" (C) 2006 Mozilla Japan お金になるバグって?
  13. 13. https://www.mozilla.org/en-US/security/advisories/mfsa2015-13/
  14. 14. HSTSとHPKPという保護機能を迂回できた HSTS • 指定されたホストとの全ての通信をHTTPSにする HPKP • 正規の証明書以外によるHTTPS通信を禁止する
  15. 15. HSTSが指定されたサイトにHTTPでアクセスすると http://securityheaders.com/ HTTPを指定
  16. 16. 自動的にHTTPSで接続される
  17. 17. しかしURLの末尾にドットを付けると http://securityheaders.com./ 末尾にドット
  18. 18. HTTPでアクセスされる (HSTSが効いてない)
  19. 19. <a href="http://example.jp./"> こういうリンクを踏ませれば 暗号化せずに通信させることができる 末尾にドットHTTPを指定
  20. 20. 絶対ドメイン名の考慮が抜けていたのが原因 DNSレコードを設定するときのアレ
  21. 21. これで1000ドル獲得
  22. 22. "フォクすけ" (C) 2006 Mozilla Japan ドット1つで10万円 ねっ、簡単でしょ?

×