Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性報奨金制度との付き合い方
Search
Atsushi Takayama
July 01, 2017
Technology
5
4.7k
脆弱性報奨金制度との付き合い方
YAPC::Fukuoka 2017のLTでの発表内容です。
Atsushi Takayama
July 01, 2017
Tweet
Share
More Decks by Atsushi Takayama
See All by Atsushi Takayama
最高の開発者体験の追求が開発生産性を改善し続ける文化を生み出した話
edvakf
3
1.1k
NeurIPS 2021 論文読み会: How Modular should Neural Module Networks Be for Systematic Generalization?
edvakf
0
130
8年物のJavaのシステムをKotlinに変えていく選択に至るまで
edvakf
2
1k
ピクシブ社内のImageFlux利用事例紹介
edvakf
1
2.7k
学びの文化を育む社内読書会のススメ
edvakf
0
230
フルCDNアーキテクチャでサービス設計した話
edvakf
5
3.8k
Goでバイナリを読む+α
edvakf
1
900
お前はこれまでに作ったAPIの数を覚えているのか?
edvakf
0
2.5k
「ふつうのRailsアプリケーション」についての考え方
edvakf
2
770
Other Decks in Technology
See All in Technology
いま現場PMのあなたが、 経営と向き合うPMになるために 必要なこと、腹をくくること
hiro93n
9
7.7k
[IBM TechXchange Dojo]Watson Discoveryとwatsonx.aiでRAGを実現!座学①
siyuanzh09
0
110
Kotlin Multiplatformのポテンシャル
recruitengineers
PRO
2
150
月間60万ユーザーを抱える 個人開発サービス「Walica」の 技術スタック変遷
miyachin
1
140
信頼されるためにやったこと、 やらなかったこと。/What we did to be trusted, What we did not do.
bitkey
PRO
0
2.2k
シフトライトなテスト活動を適切に行うことで、無理な開発をせず、過剰にテストせず、顧客をビックリさせないプロダクトを作り上げているお話 #RSGT2025 / Shift Right
nihonbuson
3
2.1k
EMConf JP の楽しみ方 / How to enjoy EMConf JP
pauli
2
150
Amazon Route 53, 待ちに待った TLSAレコードのサポート開始
kenichinakamura
0
170
エンジニアリングマネージャー視点での、自律的なスケーリングを実現するFASTという選択肢 / RSGT2025
yoshikiiida
4
3.7k
KMP with Crashlytics
sansantech
PRO
0
240
comilioとCloudflare、そして未来へと向けて
oliver_diary
6
440
「隙間家具OSS」に至る道/Fujiwara Tech Conference 2025
fujiwara3
7
6.4k
Featured
See All Featured
Embracing the Ebb and Flow
colly
84
4.5k
Building a Scalable Design System with Sketch
lauravandoore
460
33k
Practical Orchestrator
shlominoach
186
10k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
230
52k
Automating Front-end Workflow
addyosmani
1366
200k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
365
25k
Writing Fast Ruby
sferik
628
61k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
jQuery: Nuts, Bolts and Bling
dougneiner
62
7.6k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
GitHub's CSS Performance
jonrohan
1030
460k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.3k
Transcript
੬ऑੑใ੍ۚͱͷ ͖߹͍ํ YAPC::Fukuoka LT
ࣗݾհ ߴࢁ @edvakf ϐΫγϒגࣜձࣾ CTO ݉ ԬΦϑΟε্ཱͪ͛୲
None
ຊεϥΠυͰBugBounty.jpʹ͍ͭͯଟ͘ݴٴ͠ ͍ͯ·͕͢ɺ୯ͳΔ1Ϣʔβʔͱͯ͠ͷҙݟͰ͋ ΓɺͦΕҎ্ͷརؔ·ͬͨ͋͘Γ·ͤΜ
Τϥ͍ਓ ʮηΩϡϦςΟϦεΫͱ͔ා͍͠ɺ ଟগख͔͚͍͍͔ؒͯΒઈର҆શʹͬͯͶʯ
ηΩϡϦςΟϦεΫΛݮΒ͍ͨ͠ ܦӦऀݱɺηΩϡϦςΟΛܰࢹ͍ͨ͠ͱ ࢥͬͯͳ͍ ηΩϡϦςΟʹ͔͚Δ͖దͳίετ͕Θ͔Βͳ ͍ 100%Λࢦͦ͏ͱ͢Δͱແݶʹίετ͕͔͔Δ ։ൃΛ٘ਜ਼ʹͨ͘͠ͳ͍
ԑ͋ͬͯɺpixivͰ BugBounty.jpΛར༻͢Δ͜ͱʹͳΓ·ͨ͠
BugBounty.jpͳΒͰͷར
ಋೖίετ͕ݶΓͳ͍͘ ੬ऑੑใࠂ૭ޱͳͲͷγεςϜΛ࡞Βͳͯ͘ྑ͍ ηΩϡϦςΟ୲ऀઐνʔϜΛ࡞Βͳͯ͘ ࢝ΊΒΕΔ ʢཁ߲΄΅ؙ͛ͯ͠࡞ͬͯΒͬͨʣ
ৼΓࠐΈ·ΘΓΛؙ͛Ͱ͖Δ ϖʔύʔϫʔΫͱ͔ ւ֎ૹۚͱ͔ دۚʹ·ͭΘΔ๏ͱ͔ →ߟ͑ͨ͘ͳ͍ʂʂ
੬ऑੑใۚӡ༻৬ਓͷ ͓ࣄ
ใࠂͷਫ਼ࠪ ࠶ݱ͢Δ͔ ߈ܸ༰қ͔ ӨڹൣғͲͷ͙Β͍͔ ཁ߲Λຬ͍ͨͯ͠Δ͔ աڈͷใࠂͱॏෳͰͳ͍͔ मਖ਼ͷํΛཱͯͯissueԽ ؆୯ͳΒͦͷͰमਖ਼ લճཱͯͨissueͰ͕ٞਐΜͰ͍ ΕࢀՃ
ใֹۚͷܾఆʢޙड़ʣ ใֹۚදͷߋ৽ ෦Ͱͬ͘͟ΓܾΊ͍ͯΔ ຊެ։ͨ͠΄͏͕ྑ͍ͱࢥ͏ ج४ͷमਖ਼ ੬ऑੑͰͳ͍ͷج४Ͱ໌֬Խ ͨ͠΄͏͕ ͳ͔ͳ͔Ͱ͖͍ͯͳ͍
ͦΕͳΓʹߴͳஅ͕ඞཁ
ݱࡏ୲ऀ2ਓʢCTOͱϦʔυΤϯδχΞʣͰ िʹ1࣌ؒఔΛׂ͍͍ͯΔ ଞνʔϜʹमਖ਼Λཁٻ͍ͯ͘͠ύϫʔඞཁ ͜ΕҎ্ͷใࠂΛॲཧ͢Δʹࣾͷମ੍Λ͏ ͪΐͬͱ͑ͳ͍ͱ͍͚ͳ͍͔ͳͱ͍͏ॴײ →࠷ॳదʹܾΊͨใ͕ۚͩͬͨɺใࠂΛ૿ ͨ͢ΊʹҰҾ্͖͛ͨ
దͳใֹۚΛܾΊΔ
ʮ߈ܸ͢ΔΑΓใࠂͨ͠΄͏͕ ཧʹ͔ͳ͏ఔʯ
ແཧے
ϐΫγϒͰ
ձࣾͱͯ͠దͱࢥ͏ൣғͰ্ݶઃఆ͢Εྑ͍ ηΩϡϦςΟϦεΫاۀͷϒϥϯυѻ͍ͬͯΔ σʔλʹΑ༷ͬͯʑͳͷͰ ։ൃମ੍ͷதͰରԠ͍͚ͯ͠Δͪΐ͏Ͳྑ͍ྔͷใ ࠂ͕དྷΔΑ͏ʹɺधཁͱڙڅͷόϥϯεΛऔΔ िʹ݅ ࣾٞͱͯ͠ɺʮຖ݄͍͍ͩͨ͜ͷ͙Β͍ͷۚ ֹͰΓ·͢ʯͱ͍͏༰ʹͳ͍ͬͯΔ
෦తͳʮ͓͓Αͦͷج४ʯΛܾΊͯɺͦΕͱͷ ૬ରతͳൺֱͰใֹۚΛܾఆ͍ͯ͠Δ ج४Λެ։͠ɺߋ৽͍ͯͬͨ͠΄͏͕ใࠂऀʹ ʢͰ͖ͯͳ͍ʣ CVSSΛࢀߟʹͯ͠Α͍ʢͯ͠ͳ͍ʣ https://www.ipa.go.jp/security/vuln/CVSSv3.html
ଞͷྫʢGoogleʣ https://www.google.com/about/appsecurity/reward-program/
ใࠂͷ༁
શใࠂͷ͏ͪɺ60ʙ70%Λ੬ऑੑೝఆ͠ɺͦͷ༁ʢॴײʣ ϩάΠϯηογϣϯʹ·ͭΘΔ༷ͷෆඋɿ20% ΦʔϓϯϦμΠϨΫλΫϦοΫδϟοΩϯάͷΑ͏ͳɺϑΟο γϯάʹܨ͕Δ੬ऑੑʢʁʣɿ20% HTTPϔομʔͷෆඋɿ20% ϑϨʔϜϫʔΫͷطͷ੬ऑੑɿ10% XSSͳͲɿ10% ͦͷଞɿ20%
ਖ਼໘ͳέʔε͋Δ
ݒ೦ແ͘ͳ͍
ࣾͷਓ͕ಗ໊Ͱ੬ऑੑใࠂ͖ͯͨ͠Β… γεςϜతʹ͛ͳͦ͞͏
ͱ͍͑ɺ ͱͯࢀߟʹͳΔใࠂ
1͖ͬͯͯɺ࠷ߴֹۚΛͬͨͷ4ճ pngʹِͨ͠psϑΝΠϧΛʢ͝ʹΐ͝ʹΐʣ ಛఆͷURLΛ։͔ͤΔ͚ͩͰʢ͝͝ʣ ଞਓͷอଘͨ͠σʔλΛʢ͛;Μ͛;Μʣ Flash༻ͷݹ͍APIͰʢ͋ʔ͏ʔʣ
ใࠂऀͷଚܟॏཁ
·ͨใࠂ͍ͨ͠ɺͱࢥͬͯΒ͏ͨΊʹ ͳΔ͘ૣͯ͘త֬ͳฦ৴Λ৺͕͚Δ ੬ऑੑͰͳ͍ͱஅͨ͠ΓɺॏෳͰ͋ͬͯɺ ࢀߟʹͳͬͨ߹ੵۃతʹใۚΛࢧ͏ ࣦྱʹͳΒͳ͍ݴ༿ݣ͍ ใࠂͷ͙Β͍ӳޠͳͷͰɺӳޠͰͷద ͳදݱʹ໎͏͜ͱ͕͋Δ
·ͱΊ
BugBounty.jpΛͬͯॳظίετΛ͑ͯ੬ऑੑใ ੍ۚΛ࢝Ί·ͨ͠ ӡ༻ͷखؒͦΕͳΓʹ͔͔͍ͬͯΔ ͱݴͬͯਫ਼͕ࠪि1࣌ؒఔ+मਖ਼ίετ͙Β͍ ใֹۚɺग़ͤΔൣғ+ॲཧͰ͖ΔൣғͰΔͷ͕ ྑ͍ͷͰ ใࠂऀͷํʑʹେมײँ͍ͯ͠·͢