Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性報奨金制度との付き合い方
Search
Atsushi Takayama
July 01, 2017
Technology
5
4.5k
脆弱性報奨金制度との付き合い方
YAPC::Fukuoka 2017のLTでの発表内容です。
Atsushi Takayama
July 01, 2017
Tweet
Share
More Decks by Atsushi Takayama
See All by Atsushi Takayama
最高の開発者体験の追求が開発生産性を改善し続ける文化を生み出した話
edvakf
3
890
NeurIPS 2021 論文読み会: How Modular should Neural Module Networks Be for Systematic Generalization?
edvakf
0
100
8年物のJavaのシステムをKotlinに変えていく選択に至るまで
edvakf
2
910
ピクシブ社内のImageFlux利用事例紹介
edvakf
1
2.4k
学びの文化を育む社内読書会のススメ
edvakf
0
160
フルCDNアーキテクチャでサービス設計した話
edvakf
5
3.5k
Goでバイナリを読む+α
edvakf
1
790
お前はこれまでに作ったAPIの数を覚えているのか?
edvakf
0
2.2k
「ふつうのRailsアプリケーション」についての考え方
edvakf
2
630
Other Decks in Technology
See All in Technology
現代CSSフレームワークの内部実装とその仕組み
poteboy
4
1.7k
Cloud Native Java with Spring Boot (CNCF Aarhus, April 2024)
thomasvitale
1
130
複雑な構成要素を持つUIとの向き合い方 〜新・支出グラフでの実例〜 / B43 TECH TALK
nakamuuu
0
110
Janus
bkuhlmann
1
490
Tableau事例紹介 / Tableau Case Study of Eureka
kazuya_araki_tokyo
1
170
SPI原点回帰論:事業課題とFour Keysの結節点を見出す実践的ソフトウェアプロセス改善 / DevOpsDays Tokyo 2024
visional_engineering_and_design
4
1.6k
20240416_devopsdaystokyo
kzkmaeda
1
190
Tebiki株式会社 エンジニア採用資料
tebiki
0
4.1k
Terraformあれやこれ/terraform-this-and-that
emiki
6
590
LLM とプロンプトエンジニアリング/チューターをビルドする / LLM and Prompt Engineering and Building Tutors
ks91
PRO
0
220
強みを伸ばすキャリアデザイン
yug1224
0
200
AWS を使う上で知っておきたいオンプレミス知識/aws-on-premise-essentials
emiki
1
4.2k
Featured
See All Featured
Automating Front-end Workflow
addyosmani
1355
200k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
243
20k
jQuery: Nuts, Bolts and Bling
dougneiner
59
7.1k
Done Done
chrislema
178
15k
Debugging Ruby Performance
tmm1
70
11k
Navigating Team Friction
lara
177
13k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
1
3.4k
Infographics Made Easy
chrislema
237
18k
Writing Fast Ruby
sferik
620
60k
What's new in Ruby 2.0
geeforr
337
31k
Building Your Own Lightsaber
phodgson
98
5.7k
WebSockets: Embracing the real-time Web
robhawkes
59
7k
Transcript
੬ऑੑใ੍ۚͱͷ ͖߹͍ํ YAPC::Fukuoka LT
ࣗݾհ ߴࢁ @edvakf ϐΫγϒגࣜձࣾ CTO ݉ ԬΦϑΟε্ཱͪ͛୲
None
ຊεϥΠυͰBugBounty.jpʹ͍ͭͯଟ͘ݴٴ͠ ͍ͯ·͕͢ɺ୯ͳΔ1Ϣʔβʔͱͯ͠ͷҙݟͰ͋ ΓɺͦΕҎ্ͷརؔ·ͬͨ͋͘Γ·ͤΜ
Τϥ͍ਓ ʮηΩϡϦςΟϦεΫͱ͔ා͍͠ɺ ଟগख͔͚͍͍͔ؒͯΒઈର҆શʹͬͯͶʯ
ηΩϡϦςΟϦεΫΛݮΒ͍ͨ͠ ܦӦऀݱɺηΩϡϦςΟΛܰࢹ͍ͨ͠ͱ ࢥͬͯͳ͍ ηΩϡϦςΟʹ͔͚Δ͖దͳίετ͕Θ͔Βͳ ͍ 100%Λࢦͦ͏ͱ͢Δͱແݶʹίετ͕͔͔Δ ։ൃΛ٘ਜ਼ʹͨ͘͠ͳ͍
ԑ͋ͬͯɺpixivͰ BugBounty.jpΛར༻͢Δ͜ͱʹͳΓ·ͨ͠
BugBounty.jpͳΒͰͷར
ಋೖίετ͕ݶΓͳ͍͘ ੬ऑੑใࠂ૭ޱͳͲͷγεςϜΛ࡞Βͳͯ͘ྑ͍ ηΩϡϦςΟ୲ऀઐνʔϜΛ࡞Βͳͯ͘ ࢝ΊΒΕΔ ʢཁ߲΄΅ؙ͛ͯ͠࡞ͬͯΒͬͨʣ
ৼΓࠐΈ·ΘΓΛؙ͛Ͱ͖Δ ϖʔύʔϫʔΫͱ͔ ւ֎ૹۚͱ͔ دۚʹ·ͭΘΔ๏ͱ͔ →ߟ͑ͨ͘ͳ͍ʂʂ
੬ऑੑใۚӡ༻৬ਓͷ ͓ࣄ
ใࠂͷਫ਼ࠪ ࠶ݱ͢Δ͔ ߈ܸ༰қ͔ ӨڹൣғͲͷ͙Β͍͔ ཁ߲Λຬ͍ͨͯ͠Δ͔ աڈͷใࠂͱॏෳͰͳ͍͔ मਖ਼ͷํΛཱͯͯissueԽ ؆୯ͳΒͦͷͰमਖ਼ લճཱͯͨissueͰ͕ٞਐΜͰ͍ ΕࢀՃ
ใֹۚͷܾఆʢޙड़ʣ ใֹۚදͷߋ৽ ෦Ͱͬ͘͟ΓܾΊ͍ͯΔ ຊެ։ͨ͠΄͏͕ྑ͍ͱࢥ͏ ج४ͷमਖ਼ ੬ऑੑͰͳ͍ͷج४Ͱ໌֬Խ ͨ͠΄͏͕ ͳ͔ͳ͔Ͱ͖͍ͯͳ͍
ͦΕͳΓʹߴͳஅ͕ඞཁ
ݱࡏ୲ऀ2ਓʢCTOͱϦʔυΤϯδχΞʣͰ िʹ1࣌ؒఔΛׂ͍͍ͯΔ ଞνʔϜʹमਖ਼Λཁٻ͍ͯ͘͠ύϫʔඞཁ ͜ΕҎ্ͷใࠂΛॲཧ͢Δʹࣾͷମ੍Λ͏ ͪΐͬͱ͑ͳ͍ͱ͍͚ͳ͍͔ͳͱ͍͏ॴײ →࠷ॳదʹܾΊͨใ͕ۚͩͬͨɺใࠂΛ૿ ͨ͢ΊʹҰҾ্͖͛ͨ
దͳใֹۚΛܾΊΔ
ʮ߈ܸ͢ΔΑΓใࠂͨ͠΄͏͕ ཧʹ͔ͳ͏ఔʯ
ແཧے
ϐΫγϒͰ
ձࣾͱͯ͠దͱࢥ͏ൣғͰ্ݶઃఆ͢Εྑ͍ ηΩϡϦςΟϦεΫاۀͷϒϥϯυѻ͍ͬͯΔ σʔλʹΑ༷ͬͯʑͳͷͰ ։ൃମ੍ͷதͰରԠ͍͚ͯ͠Δͪΐ͏Ͳྑ͍ྔͷใ ࠂ͕དྷΔΑ͏ʹɺधཁͱڙڅͷόϥϯεΛऔΔ िʹ݅ ࣾٞͱͯ͠ɺʮຖ݄͍͍ͩͨ͜ͷ͙Β͍ͷۚ ֹͰΓ·͢ʯͱ͍͏༰ʹͳ͍ͬͯΔ
෦తͳʮ͓͓Αͦͷج४ʯΛܾΊͯɺͦΕͱͷ ૬ରతͳൺֱͰใֹۚΛܾఆ͍ͯ͠Δ ج४Λެ։͠ɺߋ৽͍ͯͬͨ͠΄͏͕ใࠂऀʹ ʢͰ͖ͯͳ͍ʣ CVSSΛࢀߟʹͯ͠Α͍ʢͯ͠ͳ͍ʣ https://www.ipa.go.jp/security/vuln/CVSSv3.html
ଞͷྫʢGoogleʣ https://www.google.com/about/appsecurity/reward-program/
ใࠂͷ༁
શใࠂͷ͏ͪɺ60ʙ70%Λ੬ऑੑೝఆ͠ɺͦͷ༁ʢॴײʣ ϩάΠϯηογϣϯʹ·ͭΘΔ༷ͷෆඋɿ20% ΦʔϓϯϦμΠϨΫλΫϦοΫδϟοΩϯάͷΑ͏ͳɺϑΟο γϯάʹܨ͕Δ੬ऑੑʢʁʣɿ20% HTTPϔομʔͷෆඋɿ20% ϑϨʔϜϫʔΫͷطͷ੬ऑੑɿ10% XSSͳͲɿ10% ͦͷଞɿ20%
ਖ਼໘ͳέʔε͋Δ
ݒ೦ແ͘ͳ͍
ࣾͷਓ͕ಗ໊Ͱ੬ऑੑใࠂ͖ͯͨ͠Β… γεςϜతʹ͛ͳͦ͞͏
ͱ͍͑ɺ ͱͯࢀߟʹͳΔใࠂ
1͖ͬͯͯɺ࠷ߴֹۚΛͬͨͷ4ճ pngʹِͨ͠psϑΝΠϧΛʢ͝ʹΐ͝ʹΐʣ ಛఆͷURLΛ։͔ͤΔ͚ͩͰʢ͝͝ʣ ଞਓͷอଘͨ͠σʔλΛʢ͛;Μ͛;Μʣ Flash༻ͷݹ͍APIͰʢ͋ʔ͏ʔʣ
ใࠂऀͷଚܟॏཁ
·ͨใࠂ͍ͨ͠ɺͱࢥͬͯΒ͏ͨΊʹ ͳΔ͘ૣͯ͘త֬ͳฦ৴Λ৺͕͚Δ ੬ऑੑͰͳ͍ͱஅͨ͠ΓɺॏෳͰ͋ͬͯɺ ࢀߟʹͳͬͨ߹ੵۃతʹใۚΛࢧ͏ ࣦྱʹͳΒͳ͍ݴ༿ݣ͍ ใࠂͷ͙Β͍ӳޠͳͷͰɺӳޠͰͷద ͳදݱʹ໎͏͜ͱ͕͋Δ
·ͱΊ
BugBounty.jpΛͬͯॳظίετΛ͑ͯ੬ऑੑใ ੍ۚΛ࢝Ί·ͨ͠ ӡ༻ͷखؒͦΕͳΓʹ͔͔͍ͬͯΔ ͱݴͬͯਫ਼͕ࠪि1࣌ؒఔ+मਖ਼ίετ͙Β͍ ใֹۚɺग़ͤΔൣғ+ॲཧͰ͖ΔൣғͰΔͷ͕ ྑ͍ͷͰ ใࠂऀͷํʑʹେมײँ͍ͯ͠·͢