Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Mozillaの報奨金制度で200万円ほど稼いだ話

5,642 views

Published on

「第55回 HTML5とか勉強会」の発表資料です

Published in: Technology

Mozillaの報奨金制度で200万円ほど稼いだ話

  1. 1. Mozillaの報奨金制度で 200万円ほど稼いだ話 第55回 HTML5とか勉強会 2015年3月12日 Welcome to the Black Hole of Bug Bounty Program –VERIFIED FIXED-
  2. 2. にしむねあ Weekend Bug Hunter Lecturer of Security Camp 2014
  3. 3. Firefox OSコミュニティから来ました http://itpro.nikkeibp.co.jp/atcl/column/14/508663/020900007/
  4. 4. コミュニティは社会の縮図
  5. 5. コミュニティは社会の縮図 食っていけるやつ そうでないやつ
  6. 6. コミュニティは社会の縮図 食っていけるやつ そうでないやつ おれら
  7. 7. "フォクすけ" (C) 2006 Mozilla Japan そんなおれらの新しい生き方 Mozillaのセキュリティバグ報奨金制度
  8. 8. https://www.mozilla.org/en-US/security/bug-bounty/
  9. 9. • 重大なセキュリティバグを発見した人に Mozillaが報奨金を支払う制度 • バグ1件につき最高3000ドル(約30万円)
  10. 10. "フォクすけ" (C) 2006 Mozilla Japan どのくらい儲かるの?
  11. 11. この5か月間で17,500ドル 2014.11 $3000 Bug 1069762 2014.12 $6000 Bug 1101158 Bug 1102204 2015.01 $2500 Bug 1065909 Bug 1106713 2015.03 $6000 Bug 1109276 Bug 1111834
  12. 12. "フォクすけ" (C) 2006 Mozilla Japan お金になるバグって?
  13. 13. https://www.mozilla.org/en-US/security/advisories/mfsa2015-13/
  14. 14. HSTSとHPKPという保護機能を迂回できた HSTS • 指定されたホストとの全ての通信をHTTPSにする HPKP • 正規の証明書以外によるHTTPS通信を禁止する
  15. 15. HSTSが指定されたサイトにHTTPでアクセスすると http://securityheaders.com/ HTTPを指定
  16. 16. 自動的にHTTPSで接続される
  17. 17. しかしURLの末尾にドットを付けると http://securityheaders.com./ 末尾にドット
  18. 18. HTTPでアクセスされる (HSTSが効いてない)
  19. 19. <a href="http://example.jp./"> こういうリンクを踏ませれば 暗号化せずに通信させることができる 末尾にドットHTTPを指定
  20. 20. 絶対ドメイン名の考慮が抜けていたのが原因 DNSレコードを設定するときのアレ
  21. 21. これで1000ドル獲得
  22. 22. "フォクすけ" (C) 2006 Mozilla Japan ドット1つで10万円 ねっ、簡単でしょ?

×