Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Welcome to the Black Hole of Bug Bounty Program

4,178 views

Published on

HTML5 Nightの発表資料です。

Published in: Internet
  • Be the first to comment

Welcome to the Black Hole of Bug Bounty Program

  1. 1. Welcome to the Black Hole of Bug Bounty Program HTML5 Night June 14th, 2014
  2. 2. 西村 宗晃 a.k.a. nishimunea html5j Webプラットフォーム部 部員 HTML5 Experts.jp コントリビューター セキュリティキャンプ全国大会 2014 講師 FxOS コードリーディング 部員
  3. 3. Mozilla Security Bug Bounty Program (Mozilla セキュリティバグ報奨金制度)
  4. 4. https://www.mozilla.org/security/bug-bounty.html
  5. 5. • 重大なセキュリティバグを発見した人に Mozillaが報奨金を支払う制度 • バグ1件につき3000ドル(約30万円)
  6. 6. 国内の報奨金取得者も MFSA 2014-09 MFSA 2010-42
  7. 7. でもどこを狙えば… これはやるしかない!
  8. 8. 1千万行を超えるFirefoxのコードからバグを探すのは 砂漠の中からダイアモンドを見つけ出すようなもの 過去にバグの見つかったところを狙う • 修正が不十分で、まだバグが残っているかも • 担当者のセキュリティの知識が浅く、類似のバグがあるかも
  9. 9. お分かりですよね? バグの見つかったところと言えば
  10. 10. Web Workers MFSA 2014-09 MFSA 2010-42
  11. 11. 本当にあった!
  12. 12. しかし既知のバグだとの指摘が This is a dupe of 9497XX.
  13. 13. 既知のバグを見つけた場合 Mozillaは同件と思われるBugzillaの アクセス権を付与してくれる
  14. 14. き… Kinugawaさん…(;´Д⊂)
  15. 15. • Firefoxのバグ探しは競争率が高く、 既に探し出されている場合もある • ニッチケースまで安全に実装されており そもそもバグを見つけることが難しい
  16. 16. そこで、競争率が低そうな Firefox OS固有の機能を狙う
  17. 17. なんと1週間で5件見つかる
  18. 18. ぶっ、ブルーオーシャン! そう、Firefox OSならね。
  19. 19. Lesson Learned Bug Bounty Programは中毒性が高い
  20. 20. • 一日中バグのことを考えるようになる • 新しい機能を知ると無性に攻撃したくなる
  21. 21. しかし得られるものも多い
  22. 22. • 攻撃者の視点で物事を考える力が付く • 安全な実装方法を意識する習慣が身に付く
  23. 23. Let’s Bug Hunt!
  24. 24. まだ報奨金は獲得してないんですけどね… ここに小切手の画像をドロップ

×