Recommended
More Related Content
What's hot
What's hot (16)
Similar to 5分で分かる(かもしれない)バグバウンティ
Similar to 5分で分かる(かもしれない)バグバウンティ (20)
More from shuna roo
More from shuna roo (12)
5分で分かる(かもしれない)バグバウンティ
- 2. 自己紹介 Twitter: @shunaroo 職業 : Webセキュリティエンジニア (前職:SIerでWebApp開発/CSIRT活動etc) 趣味 : 犬を愛でる 筋トレ(やる気の波大きい) 宣伝 :技術書典7にて、とっしんの会も参加予定 内容はごちゃ混ぜ:セキュリティ,スマートスピーカー etc 場所『さ21D』(22日日曜のサニーで覚えてください。)
- 3. はじめに • この資料は、とりあえずバグバウンティをはじめてみた筆者が はじめる前に思っていた疑問とやってみた感想をまとめた資料です。 • この資料はこんな方におすすめ • Webセキュリティを勉強したい方 • バグバウンティに興味がある方
- 4. 今日の話(目次) 1. バグバウンティってなに? 2. バウンティとして何がもらえるの? 3. どうやってはじめるの? 4. どうやってやるの? 5. 実際どうなの? 6. どうやったらうまくなるの?
- 5. 1. バグバウンティってなに? • 企業や団体がWebサイトなどのバグ発見者(以降ハンター)に バウンティを支払う制度 ①制度公開 ②検査 ③報告 ④バウンティ支払い サイト責任者 ハンター Webサイト
- 6. 2. バウンティとして何がもらえるの? 企業や団体にもよるが大きく3種類 • モノ • 企業や団体のオリジナルグッズ • 当初(1990年代)はこれがバウンティの主流だったらしい • 金銭 • 支払う金額はバグの危険度・影響度によりピンキリ(数千円~数百万円) • ポイント • バグバウンティの仲介を行うプラットフォーム内での評価 • 評価が高いと企業・団体から個別のプログラムに招待されやすくなる
- 7. 2. バウンティとして何がもらえるの? 企業や団体にもよるが大きく3種類 • モノ • 企業や団体のオリジナルグッズ • 当初(1990年代)はこれがバウンティの主流だったらしい • 金銭 • 支払う金額はバグの危険度・影響度によりピンキリ(数千円~数百万円) • ポイント • バグバウンティの仲介を行うプラットフォーム内での評価 • 評価が高いと企業・団体から個別のプログラムに招待されやすくなる 夢ある 年間数百万稼ぐ人や 生涯獲得1億越えの 猛者も
- 8. 3. どうやってはじめるの? • まずは参加登録が必要 勝手にやると犯罪になる可能性大 ①企業・団体をマッチングさせるプラットフォームに登録 ・hackerone ・bugcrowd ・BugBounty.jp ←日本初の専用プラットフォーム etc ②企業・団体の公式フォームから直接登録 全世界で数百~数千社が参加
- 11. 5. 実際どうなの? • 難しい!!!(簡単には見つからない! まだ筆者は報告してない!) • 企業・組織のセキュリティ意識が高い • ライバルが多い • 検査の制限が多い(何をやってもいいわけではない) • 怖い(本番サイトが多いため、壊してしまわないか心配) • 面白い!!! • 一般サイトを攻撃してOK • 今まで知らなかったサイトや業界に触れる機会 • いろいろな脆弱性を知る機会(掲載されているレポートから学ぶ) ⇒バウンティだけを目的に立ち向かうと心が折れるかも スキルアップの延長で楽しくやることがおすすめ
- 12. 6. どうやったらうまくなるの?(1/2) ①知識を増やす 1.本で学ぶ (初めからしっかり学びたい人向け) • Web Hacking 101 • 体系的に学ぶ安全なWebアプリケーションの作り方 etc 2.動画で学ぶ (飽きずに学びたい人向け) • Youtube • Udemy etc 3.SNSから学ぶ (流行りを知りたい人向け) • Twitter(ひたすらフォロー) • ブログ etc 4.レポートから学ぶ (報告の仕方を学びたい人向け)
- 13. 6. どうやったらうまくなるの?(2/2) ②戦略を変える 1.スモールスタート (大物ばかりを狙わない) 大手や高額なものは • 企業も対策してる • ライバルが多い まずは小額やポイントがもらえるものがよい! 2.得意な脆弱性を深く検査 簡単な検査は、企業もライバルもやっている 得意な脆弱性を見つけて、その脆弱性をライバルより深くやるのがよい!