Submit Search
Upload
Welcome to the Black Hole of Bug Bounty Program
•
1 like
•
4,440 views
Muneaki Nishimura
Follow
HTML5 Nightの発表資料です。
Read less
Read more
Internet
Report
Share
Report
Share
1 of 24
Download now
Download to read offline
Recommended
Mozillaの報奨金制度で200万円ほど稼いだ話
Mozillaの報奨金制度で200万円ほど稼いだ話
Muneaki Nishimura
2013.03.18 JIPDEC S/MIME普及シンポジウム
2013.03.18 JIPDEC S/MIME普及シンポジウム
UEHARA, Tetsutaro
Updates of socket.io@1.0
Updates of socket.io@1.0
Jxck Jxck
HTML5 Night 2014 Web x Network Technology ( WebRTC )
HTML5 Night 2014 Web x Network Technology ( WebRTC )
Kensaku Komatsu
PhoneGap Introduction
PhoneGap Introduction
Keisuke Todoroki
Fox Trot
Fox Trot
dynamis
HTML5 NIGHT 08. Web × パフォーマンス技術
HTML5 NIGHT 08. Web × パフォーマンス技術
Yoichiro Takehora
Chrome For HTML5NIGHT
Chrome For HTML5NIGHT
Takuya Oikawa
Recommended
Mozillaの報奨金制度で200万円ほど稼いだ話
Mozillaの報奨金制度で200万円ほど稼いだ話
Muneaki Nishimura
2013.03.18 JIPDEC S/MIME普及シンポジウム
2013.03.18 JIPDEC S/MIME普及シンポジウム
UEHARA, Tetsutaro
Updates of socket.io@1.0
Updates of socket.io@1.0
Jxck Jxck
HTML5 Night 2014 Web x Network Technology ( WebRTC )
HTML5 Night 2014 Web x Network Technology ( WebRTC )
Kensaku Komatsu
PhoneGap Introduction
PhoneGap Introduction
Keisuke Todoroki
Fox Trot
Fox Trot
dynamis
HTML5 NIGHT 08. Web × パフォーマンス技術
HTML5 NIGHT 08. Web × パフォーマンス技術
Yoichiro Takehora
Chrome For HTML5NIGHT
Chrome For HTML5NIGHT
Takuya Oikawa
HTML5入門 for 頭がヤバい人向け
HTML5入門 for 頭がヤバい人向け
Kenichi Kanai
IE8 滅びろ
IE8 滅びろ
彰 村地
Firefox OS 起動の仕組みを調べてみた
Firefox OS 起動の仕組みを調べてみた
Muneaki Nishimura
Webアプリ開発者のためのHTML5セキュリティ入門
Webアプリ開発者のためのHTML5セキュリティ入門
Muneaki Nishimura
Yocto Project ハンズオン プレゼン用資料
Yocto Project ハンズオン プレゼン用資料
Nobuhiro Iwamatsu
WebSockets with Spring 4
WebSockets with Spring 4
Sergi Almar i Graupera
Welcome to the Black Hole of Bug Bounty Program Rebooted
Welcome to the Black Hole of Bug Bounty Program Rebooted
Muneaki Nishimura
Firefox 学生向けアドオンパック
Firefox 学生向けアドオンパック
Kosei Moriyama
Webアプリケーションセキュリティ ディスカッション資料
Webアプリケーションセキュリティ ディスカッション資料
Mitsuru Ogawa
Web∩アプリ
Web∩アプリ
Noritada Shimizu
Secret of Firefox
Secret of Firefox
dynamis
Unity に於けるモバイルプラットフォーム向けビルド自動化のおはなし
Unity に於けるモバイルプラットフォーム向けビルド自動化のおはなし
Mori Tetsuya
Framework code reading
Framework code reading
shinnosuke kugimiya
Find Blue Oceans - Through the Competitive World of Bug Bounty
Find Blue Oceans - Through the Competitive World of Bug Bounty
Muneaki Nishimura
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
Firefoxの倒し方
Firefoxの倒し方
Muneaki Nishimura
Webプラットフォームのセキュリティ
Webプラットフォームのセキュリティ
Muneaki Nishimura
Firefoxの日和見暗号がカジュアルに無効化された話
Firefoxの日和見暗号がカジュアルに無効化された話
Muneaki Nishimura
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
Muneaki Nishimura
Mozillaの報奨金制度で100万円ほど稼いだ話
Mozillaの報奨金制度で100万円ほど稼いだ話
Muneaki Nishimura
Future of Web Security Opened up by CSP
Future of Web Security Opened up by CSP
Muneaki Nishimura
そろそろ押さえておきたい AngularJSのセキュリティ
そろそろ押さえておきたい AngularJSのセキュリティ
Muneaki Nishimura
More Related Content
Viewers also liked
HTML5入門 for 頭がヤバい人向け
HTML5入門 for 頭がヤバい人向け
Kenichi Kanai
IE8 滅びろ
IE8 滅びろ
彰 村地
Firefox OS 起動の仕組みを調べてみた
Firefox OS 起動の仕組みを調べてみた
Muneaki Nishimura
Webアプリ開発者のためのHTML5セキュリティ入門
Webアプリ開発者のためのHTML5セキュリティ入門
Muneaki Nishimura
Yocto Project ハンズオン プレゼン用資料
Yocto Project ハンズオン プレゼン用資料
Nobuhiro Iwamatsu
WebSockets with Spring 4
WebSockets with Spring 4
Sergi Almar i Graupera
Viewers also liked
(6)
HTML5入門 for 頭がヤバい人向け
HTML5入門 for 頭がヤバい人向け
IE8 滅びろ
IE8 滅びろ
Firefox OS 起動の仕組みを調べてみた
Firefox OS 起動の仕組みを調べてみた
Webアプリ開発者のためのHTML5セキュリティ入門
Webアプリ開発者のためのHTML5セキュリティ入門
Yocto Project ハンズオン プレゼン用資料
Yocto Project ハンズオン プレゼン用資料
WebSockets with Spring 4
WebSockets with Spring 4
Similar to Welcome to the Black Hole of Bug Bounty Program
Welcome to the Black Hole of Bug Bounty Program Rebooted
Welcome to the Black Hole of Bug Bounty Program Rebooted
Muneaki Nishimura
Firefox 学生向けアドオンパック
Firefox 学生向けアドオンパック
Kosei Moriyama
Webアプリケーションセキュリティ ディスカッション資料
Webアプリケーションセキュリティ ディスカッション資料
Mitsuru Ogawa
Web∩アプリ
Web∩アプリ
Noritada Shimizu
Secret of Firefox
Secret of Firefox
dynamis
Unity に於けるモバイルプラットフォーム向けビルド自動化のおはなし
Unity に於けるモバイルプラットフォーム向けビルド自動化のおはなし
Mori Tetsuya
Framework code reading
Framework code reading
shinnosuke kugimiya
Similar to Welcome to the Black Hole of Bug Bounty Program
(7)
Welcome to the Black Hole of Bug Bounty Program Rebooted
Welcome to the Black Hole of Bug Bounty Program Rebooted
Firefox 学生向けアドオンパック
Firefox 学生向けアドオンパック
Webアプリケーションセキュリティ ディスカッション資料
Webアプリケーションセキュリティ ディスカッション資料
Web∩アプリ
Web∩アプリ
Secret of Firefox
Secret of Firefox
Unity に於けるモバイルプラットフォーム向けビルド自動化のおはなし
Unity に於けるモバイルプラットフォーム向けビルド自動化のおはなし
Framework code reading
Framework code reading
More from Muneaki Nishimura
Find Blue Oceans - Through the Competitive World of Bug Bounty
Find Blue Oceans - Through the Competitive World of Bug Bounty
Muneaki Nishimura
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
Firefoxの倒し方
Firefoxの倒し方
Muneaki Nishimura
Webプラットフォームのセキュリティ
Webプラットフォームのセキュリティ
Muneaki Nishimura
Firefoxの日和見暗号がカジュアルに無効化された話
Firefoxの日和見暗号がカジュアルに無効化された話
Muneaki Nishimura
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
Muneaki Nishimura
Mozillaの報奨金制度で100万円ほど稼いだ話
Mozillaの報奨金制度で100万円ほど稼いだ話
Muneaki Nishimura
Future of Web Security Opened up by CSP
Future of Web Security Opened up by CSP
Muneaki Nishimura
そろそろ押さえておきたい AngularJSのセキュリティ
そろそろ押さえておきたい AngularJSのセキュリティ
Muneaki Nishimura
GeckoのLocal Storageについて調べてみた
GeckoのLocal Storageについて調べてみた
Muneaki Nishimura
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Muneaki Nishimura
More from Muneaki Nishimura
(11)
Find Blue Oceans - Through the Competitive World of Bug Bounty
Find Blue Oceans - Through the Competitive World of Bug Bounty
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Firefoxの倒し方
Firefoxの倒し方
Webプラットフォームのセキュリティ
Webプラットフォームのセキュリティ
Firefoxの日和見暗号がカジュアルに無効化された話
Firefoxの日和見暗号がカジュアルに無効化された話
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
Mozillaの報奨金制度で100万円ほど稼いだ話
Mozillaの報奨金制度で100万円ほど稼いだ話
Future of Web Security Opened up by CSP
Future of Web Security Opened up by CSP
そろそろ押さえておきたい AngularJSのセキュリティ
そろそろ押さえておきたい AngularJSのセキュリティ
GeckoのLocal Storageについて調べてみた
GeckoのLocal Storageについて調べてみた
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Recently uploaded
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
ivanwang53
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
Taka Narita
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ivanwang53
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
ivanwang53
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
ivanwang53
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components
okitamasashi
Recently uploaded
(6)
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components
Welcome to the Black Hole of Bug Bounty Program
1.
Welcome to the
Black Hole of Bug Bounty Program HTML5 Night June 14th, 2014
2.
西村 宗晃 a.k.a.
nishimunea html5j Webプラットフォーム部 部員 HTML5 Experts.jp コントリビューター セキュリティキャンプ全国大会 2014 講師 FxOS コードリーディング 部員
3.
Mozilla Security Bug
Bounty Program (Mozilla セキュリティバグ報奨金制度)
4.
https://www.mozilla.org/security/bug-bounty.html
5.
• 重大なセキュリティバグを発見した人に Mozillaが報奨金を支払う制度 • バグ1件につき3000ドル(約30万円)
6.
国内の報奨金取得者も MFSA 2014-09 MFSA 2010-42
7.
でもどこを狙えば… これはやるしかない!
8.
1千万行を超えるFirefoxのコードからバグを探すのは 砂漠の中からダイアモンドを見つけ出すようなもの 過去にバグの見つかったところを狙う • 修正が不十分で、まだバグが残っているかも • 担当者のセキュリティの知識が浅く、類似のバグがあるかも
9.
お分かりですよね? バグの見つかったところと言えば
10.
Web Workers MFSA 2014-09 MFSA
2010-42
11.
本当にあった!
12.
しかし既知のバグだとの指摘が This is a
dupe of 9497XX.
13.
既知のバグを見つけた場合 Mozillaは同件と思われるBugzillaの アクセス権を付与してくれる
14.
き… Kinugawaさん…(;´Д⊂)
15.
• Firefoxのバグ探しは競争率が高く、 既に探し出されている場合もある • ニッチケースまで安全に実装されており そもそもバグを見つけることが難しい
16.
そこで、競争率が低そうな Firefox OS固有の機能を狙う
17.
なんと1週間で5件見つかる
18.
ぶっ、ブルーオーシャン! そう、Firefox OSならね。
19.
Lesson Learned Bug Bounty
Programは中毒性が高い
20.
• 一日中バグのことを考えるようになる • 新しい機能を知ると無性に攻撃したくなる
21.
しかし得られるものも多い
22.
• 攻撃者の視点で物事を考える力が付く • 安全な実装方法を意識する習慣が身に付く
23.
Let’s Bug Hunt!
24.
まだ報奨金は獲得してないんですけどね… ここに小切手の画像をドロップ
Download now