Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性報奨金制度との付き合い方
Search
Atsushi Takayama
July 01, 2017
Technology
4.9k
5
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
脆弱性報奨金制度との付き合い方
YAPC::Fukuoka 2017のLTでの発表内容です。
Atsushi Takayama
July 01, 2017
More Decks by Atsushi Takayama
See All by Atsushi Takayama
最高の開発者体験の追求が開発生産性を改善し続ける文化を生み出した話
edvakf
3
1.7k
NeurIPS 2021 論文読み会: How Modular should Neural Module Networks Be for Systematic Generalization?
edvakf
0
230
8年物のJavaのシステムをKotlinに変えていく選択に至るまで
edvakf
2
1.1k
ピクシブ社内のImageFlux利用事例紹介
edvakf
2
3.1k
学びの文化を育む社内読書会のススメ
edvakf
0
320
フルCDNアーキテクチャでサービス設計した話
edvakf
5
4.2k
Goでバイナリを読む+α
edvakf
1
1k
お前はこれまでに作ったAPIの数を覚えているのか?
edvakf
0
2.7k
「ふつうのRailsアプリケーション」についての考え方
edvakf
2
940
Other Decks in Technology
See All in Technology
時期が悪い!それでもRaspberry Piを買って遊んで活用するには / 20260627-osc26do-rpi-jikigawarui
akkiesoft
1
960
背中から、背中へ /paying forward to community
naitosatoshi
0
210
#エンジニアBooks 30分でわかる 「技術記事を書く技術」 / engineer-books 2026-06-30
jnchito
1
170
Mastraエージェント、どのクラウドにデプロイする?
minorun365
PRO
2
130
LiDAR SLAMの実装とセンサ融合 ~Lie群からContinuous-Time LIOまで~
naokiakai
1
830
勉強会企画をアプリで構造化してみた 〜そこで見えた、AIとの付き合い方〜 / I've structured a study group plan using an app.
pauli
0
280
CVE-2026-20833_脆弱性対応とAES 化について
jukishiya
0
340
【FinOps】データドリブンな意思決定を目指して
z63d
3
580
次世代ランサムウェア対策の考察 / 20260704 Mitsutoshi Matsuo
shift_evolve
PRO
5
1.7k
AWS Summit 2026で見えたSIerにとっての Amazon Quickの位置づけ
maf_0521
0
150
「ビジネスがわかるエンジニア」とは何か?
ryooob
0
440
感情と身体を置き去りにしない、エンジニアの生きのこり方 ──いまから、ここから「自分の状態」を扱うという選択
saorimurooka
1
450
Featured
See All Featured
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
6k
SEO in 2025: How to Prepare for the Future of Search
ipullrank
3
3.6k
KATA
mclloyd
PRO
35
15k
How STYLIGHT went responsive
nonsquared
100
6.2k
Designing for humans not robots
tammielis
254
26k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
56k
How to Align SEO within the Product Triangle To Get Buy-In & Support - #RIMC
aleyda
2
1.6k
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
160
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3.2k
Docker and Python
trallard
47
3.9k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.3k
Speed Design
sergeychernyshev
33
1.9k
Transcript
੬ऑੑใ੍ۚͱͷ ͖߹͍ํ YAPC::Fukuoka LT
ࣗݾհ ߴࢁ @edvakf ϐΫγϒגࣜձࣾ CTO ݉ ԬΦϑΟε্ཱͪ͛୲
None
ຊεϥΠυͰBugBounty.jpʹ͍ͭͯଟ͘ݴٴ͠ ͍ͯ·͕͢ɺ୯ͳΔ1Ϣʔβʔͱͯ͠ͷҙݟͰ͋ ΓɺͦΕҎ্ͷརؔ·ͬͨ͋͘Γ·ͤΜ
Τϥ͍ਓ ʮηΩϡϦςΟϦεΫͱ͔ා͍͠ɺ ଟগख͔͚͍͍͔ؒͯΒઈର҆શʹͬͯͶʯ
ηΩϡϦςΟϦεΫΛݮΒ͍ͨ͠ ܦӦऀݱɺηΩϡϦςΟΛܰࢹ͍ͨ͠ͱ ࢥͬͯͳ͍ ηΩϡϦςΟʹ͔͚Δ͖దͳίετ͕Θ͔Βͳ ͍ 100%Λࢦͦ͏ͱ͢Δͱແݶʹίετ͕͔͔Δ ։ൃΛ٘ਜ਼ʹͨ͘͠ͳ͍
ԑ͋ͬͯɺpixivͰ BugBounty.jpΛར༻͢Δ͜ͱʹͳΓ·ͨ͠
BugBounty.jpͳΒͰͷར
ಋೖίετ͕ݶΓͳ͍͘ ੬ऑੑใࠂ૭ޱͳͲͷγεςϜΛ࡞Βͳͯ͘ྑ͍ ηΩϡϦςΟ୲ऀઐνʔϜΛ࡞Βͳͯ͘ ࢝ΊΒΕΔ ʢཁ߲΄΅ؙ͛ͯ͠࡞ͬͯΒͬͨʣ
ৼΓࠐΈ·ΘΓΛؙ͛Ͱ͖Δ ϖʔύʔϫʔΫͱ͔ ւ֎ૹۚͱ͔ دۚʹ·ͭΘΔ๏ͱ͔ →ߟ͑ͨ͘ͳ͍ʂʂ
੬ऑੑใۚӡ༻৬ਓͷ ͓ࣄ
ใࠂͷਫ਼ࠪ ࠶ݱ͢Δ͔ ߈ܸ༰қ͔ ӨڹൣғͲͷ͙Β͍͔ ཁ߲Λຬ͍ͨͯ͠Δ͔ աڈͷใࠂͱॏෳͰͳ͍͔ मਖ਼ͷํΛཱͯͯissueԽ ؆୯ͳΒͦͷͰमਖ਼ લճཱͯͨissueͰ͕ٞਐΜͰ͍ ΕࢀՃ
ใֹۚͷܾఆʢޙड़ʣ ใֹۚදͷߋ৽ ෦Ͱͬ͘͟ΓܾΊ͍ͯΔ ຊެ։ͨ͠΄͏͕ྑ͍ͱࢥ͏ ج४ͷमਖ਼ ੬ऑੑͰͳ͍ͷج४Ͱ໌֬Խ ͨ͠΄͏͕ ͳ͔ͳ͔Ͱ͖͍ͯͳ͍
ͦΕͳΓʹߴͳஅ͕ඞཁ
ݱࡏ୲ऀ2ਓʢCTOͱϦʔυΤϯδχΞʣͰ िʹ1࣌ؒఔΛׂ͍͍ͯΔ ଞνʔϜʹमਖ਼Λཁٻ͍ͯ͘͠ύϫʔඞཁ ͜ΕҎ্ͷใࠂΛॲཧ͢Δʹࣾͷମ੍Λ͏ ͪΐͬͱ͑ͳ͍ͱ͍͚ͳ͍͔ͳͱ͍͏ॴײ →࠷ॳదʹܾΊͨใ͕ۚͩͬͨɺใࠂΛ૿ ͨ͢ΊʹҰҾ্͖͛ͨ
దͳใֹۚΛܾΊΔ
ʮ߈ܸ͢ΔΑΓใࠂͨ͠΄͏͕ ཧʹ͔ͳ͏ఔʯ
ແཧے
ϐΫγϒͰ
ձࣾͱͯ͠దͱࢥ͏ൣғͰ্ݶઃఆ͢Εྑ͍ ηΩϡϦςΟϦεΫاۀͷϒϥϯυѻ͍ͬͯΔ σʔλʹΑ༷ͬͯʑͳͷͰ ։ൃମ੍ͷதͰରԠ͍͚ͯ͠Δͪΐ͏Ͳྑ͍ྔͷใ ࠂ͕དྷΔΑ͏ʹɺधཁͱڙڅͷόϥϯεΛऔΔ िʹ݅ ࣾٞͱͯ͠ɺʮຖ݄͍͍ͩͨ͜ͷ͙Β͍ͷۚ ֹͰΓ·͢ʯͱ͍͏༰ʹͳ͍ͬͯΔ
෦తͳʮ͓͓Αͦͷج४ʯΛܾΊͯɺͦΕͱͷ ૬ରతͳൺֱͰใֹۚΛܾఆ͍ͯ͠Δ ج४Λެ։͠ɺߋ৽͍ͯͬͨ͠΄͏͕ใࠂऀʹ ʢͰ͖ͯͳ͍ʣ CVSSΛࢀߟʹͯ͠Α͍ʢͯ͠ͳ͍ʣ https://www.ipa.go.jp/security/vuln/CVSSv3.html
ଞͷྫʢGoogleʣ https://www.google.com/about/appsecurity/reward-program/
ใࠂͷ༁
શใࠂͷ͏ͪɺ60ʙ70%Λ੬ऑੑೝఆ͠ɺͦͷ༁ʢॴײʣ ϩάΠϯηογϣϯʹ·ͭΘΔ༷ͷෆඋɿ20% ΦʔϓϯϦμΠϨΫλΫϦοΫδϟοΩϯάͷΑ͏ͳɺϑΟο γϯάʹܨ͕Δ੬ऑੑʢʁʣɿ20% HTTPϔομʔͷෆඋɿ20% ϑϨʔϜϫʔΫͷطͷ੬ऑੑɿ10% XSSͳͲɿ10% ͦͷଞɿ20%
ਖ਼໘ͳέʔε͋Δ
ݒ೦ແ͘ͳ͍
ࣾͷਓ͕ಗ໊Ͱ੬ऑੑใࠂ͖ͯͨ͠Β… γεςϜతʹ͛ͳͦ͞͏
ͱ͍͑ɺ ͱͯࢀߟʹͳΔใࠂ
1͖ͬͯͯɺ࠷ߴֹۚΛͬͨͷ4ճ pngʹِͨ͠psϑΝΠϧΛʢ͝ʹΐ͝ʹΐʣ ಛఆͷURLΛ։͔ͤΔ͚ͩͰʢ͝͝ʣ ଞਓͷอଘͨ͠σʔλΛʢ͛;Μ͛;Μʣ Flash༻ͷݹ͍APIͰʢ͋ʔ͏ʔʣ
ใࠂऀͷଚܟॏཁ
·ͨใࠂ͍ͨ͠ɺͱࢥͬͯΒ͏ͨΊʹ ͳΔ͘ૣͯ͘త֬ͳฦ৴Λ৺͕͚Δ ੬ऑੑͰͳ͍ͱஅͨ͠ΓɺॏෳͰ͋ͬͯɺ ࢀߟʹͳͬͨ߹ੵۃతʹใۚΛࢧ͏ ࣦྱʹͳΒͳ͍ݴ༿ݣ͍ ใࠂͷ͙Β͍ӳޠͳͷͰɺӳޠͰͷద ͳදݱʹ໎͏͜ͱ͕͋Δ
·ͱΊ
BugBounty.jpΛͬͯॳظίετΛ͑ͯ੬ऑੑใ ੍ۚΛ࢝Ί·ͨ͠ ӡ༻ͷखؒͦΕͳΓʹ͔͔͍ͬͯΔ ͱݴͬͯਫ਼͕ࠪि1࣌ؒఔ+मਖ਼ίετ͙Β͍ ใֹۚɺग़ͤΔൣғ+ॲཧͰ͖ΔൣғͰΔͷ͕ ྑ͍ͷͰ ใࠂऀͷํʑʹେมײँ͍ͯ͠·͢