Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性報奨金制度との付き合い方
Search
Atsushi Takayama
July 01, 2017
Technology
5
4.7k
脆弱性報奨金制度との付き合い方
YAPC::Fukuoka 2017のLTでの発表内容です。
Atsushi Takayama
July 01, 2017
Tweet
Share
More Decks by Atsushi Takayama
See All by Atsushi Takayama
最高の開発者体験の追求が開発生産性を改善し続ける文化を生み出した話
edvakf
3
1.1k
NeurIPS 2021 論文読み会: How Modular should Neural Module Networks Be for Systematic Generalization?
edvakf
0
140
8年物のJavaのシステムをKotlinに変えていく選択に至るまで
edvakf
2
1k
ピクシブ社内のImageFlux利用事例紹介
edvakf
1
2.7k
学びの文化を育む社内読書会のススメ
edvakf
0
240
フルCDNアーキテクチャでサービス設計した話
edvakf
5
3.8k
Goでバイナリを読む+α
edvakf
1
910
お前はこれまでに作ったAPIの数を覚えているのか?
edvakf
0
2.5k
「ふつうのRailsアプリケーション」についての考え方
edvakf
2
800
Other Decks in Technology
See All in Technology
Change Managerを活用して本番環境へのセキュアなGUIアクセスを統制する / Control Secure GUI Access to the Production Environment with Change Manager
yuj1osm
0
110
AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュリティ対策
umekou
2
150
わたしがEMとして入社した「最初の100日」の過ごし方 / EMConfJp2025
daiksy
14
5.3k
ExaDB-XSで利用されているExadata Exascaleについて
oracle4engineer
PRO
3
280
1行のコードから社会課題の解決へ: EMの探究、事業・技術・組織を紡ぐ実践知 / EM Conf 2025
9ma3r
12
4.3k
大規模アジャイルフレームワークから学ぶエンジニアマネジメントの本質
staka121
PRO
3
1.3k
急成長する企業で作った、エンジニアが輝ける制度/ 20250227 Rinto Ikenoue
shift_evolve
0
180
【詳説】コンテンツ配信 システムの複数機能 基盤への拡張
hatena
0
280
AI Agent時代なのでAWSのLLMs.txtが欲しい!
watany
3
340
Ruby on Railsで持続可能な開発を行うために取り組んでいること
am1157154
3
160
アジャイルな開発チームでテスト戦略の話は誰がする? / Who Talks About Test Strategy?
ak1210
1
660
Amazon Q Developerの無料利用枠を使い倒してHello worldを表示させよう!
nrinetcom
PRO
2
120
Featured
See All Featured
It's Worth the Effort
3n
184
28k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.4k
Practical Orchestrator
shlominoach
186
10k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.5k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
175
52k
Done Done
chrislema
182
16k
We Have a Design System, Now What?
morganepeng
51
7.4k
The Pragmatic Product Professional
lauravandoore
32
6.4k
How to Ace a Technical Interview
jacobian
276
23k
Mobile First: as difficult as doing things right
swwweet
223
9.5k
Transcript
੬ऑੑใ੍ۚͱͷ ͖߹͍ํ YAPC::Fukuoka LT
ࣗݾհ ߴࢁ @edvakf ϐΫγϒגࣜձࣾ CTO ݉ ԬΦϑΟε্ཱͪ͛୲
None
ຊεϥΠυͰBugBounty.jpʹ͍ͭͯଟ͘ݴٴ͠ ͍ͯ·͕͢ɺ୯ͳΔ1Ϣʔβʔͱͯ͠ͷҙݟͰ͋ ΓɺͦΕҎ্ͷརؔ·ͬͨ͋͘Γ·ͤΜ
Τϥ͍ਓ ʮηΩϡϦςΟϦεΫͱ͔ා͍͠ɺ ଟগख͔͚͍͍͔ؒͯΒઈର҆શʹͬͯͶʯ
ηΩϡϦςΟϦεΫΛݮΒ͍ͨ͠ ܦӦऀݱɺηΩϡϦςΟΛܰࢹ͍ͨ͠ͱ ࢥͬͯͳ͍ ηΩϡϦςΟʹ͔͚Δ͖దͳίετ͕Θ͔Βͳ ͍ 100%Λࢦͦ͏ͱ͢Δͱແݶʹίετ͕͔͔Δ ։ൃΛ٘ਜ਼ʹͨ͘͠ͳ͍
ԑ͋ͬͯɺpixivͰ BugBounty.jpΛར༻͢Δ͜ͱʹͳΓ·ͨ͠
BugBounty.jpͳΒͰͷར
ಋೖίετ͕ݶΓͳ͍͘ ੬ऑੑใࠂ૭ޱͳͲͷγεςϜΛ࡞Βͳͯ͘ྑ͍ ηΩϡϦςΟ୲ऀઐνʔϜΛ࡞Βͳͯ͘ ࢝ΊΒΕΔ ʢཁ߲΄΅ؙ͛ͯ͠࡞ͬͯΒͬͨʣ
ৼΓࠐΈ·ΘΓΛؙ͛Ͱ͖Δ ϖʔύʔϫʔΫͱ͔ ւ֎ૹۚͱ͔ دۚʹ·ͭΘΔ๏ͱ͔ →ߟ͑ͨ͘ͳ͍ʂʂ
੬ऑੑใۚӡ༻৬ਓͷ ͓ࣄ
ใࠂͷਫ਼ࠪ ࠶ݱ͢Δ͔ ߈ܸ༰қ͔ ӨڹൣғͲͷ͙Β͍͔ ཁ߲Λຬ͍ͨͯ͠Δ͔ աڈͷใࠂͱॏෳͰͳ͍͔ मਖ਼ͷํΛཱͯͯissueԽ ؆୯ͳΒͦͷͰमਖ਼ લճཱͯͨissueͰ͕ٞਐΜͰ͍ ΕࢀՃ
ใֹۚͷܾఆʢޙड़ʣ ใֹۚදͷߋ৽ ෦Ͱͬ͘͟ΓܾΊ͍ͯΔ ຊެ։ͨ͠΄͏͕ྑ͍ͱࢥ͏ ج४ͷमਖ਼ ੬ऑੑͰͳ͍ͷج४Ͱ໌֬Խ ͨ͠΄͏͕ ͳ͔ͳ͔Ͱ͖͍ͯͳ͍
ͦΕͳΓʹߴͳஅ͕ඞཁ
ݱࡏ୲ऀ2ਓʢCTOͱϦʔυΤϯδχΞʣͰ िʹ1࣌ؒఔΛׂ͍͍ͯΔ ଞνʔϜʹमਖ਼Λཁٻ͍ͯ͘͠ύϫʔඞཁ ͜ΕҎ্ͷใࠂΛॲཧ͢Δʹࣾͷମ੍Λ͏ ͪΐͬͱ͑ͳ͍ͱ͍͚ͳ͍͔ͳͱ͍͏ॴײ →࠷ॳదʹܾΊͨใ͕ۚͩͬͨɺใࠂΛ૿ ͨ͢ΊʹҰҾ্͖͛ͨ
దͳใֹۚΛܾΊΔ
ʮ߈ܸ͢ΔΑΓใࠂͨ͠΄͏͕ ཧʹ͔ͳ͏ఔʯ
ແཧے
ϐΫγϒͰ
ձࣾͱͯ͠దͱࢥ͏ൣғͰ্ݶઃఆ͢Εྑ͍ ηΩϡϦςΟϦεΫاۀͷϒϥϯυѻ͍ͬͯΔ σʔλʹΑ༷ͬͯʑͳͷͰ ։ൃମ੍ͷதͰରԠ͍͚ͯ͠Δͪΐ͏Ͳྑ͍ྔͷใ ࠂ͕དྷΔΑ͏ʹɺधཁͱڙڅͷόϥϯεΛऔΔ िʹ݅ ࣾٞͱͯ͠ɺʮຖ݄͍͍ͩͨ͜ͷ͙Β͍ͷۚ ֹͰΓ·͢ʯͱ͍͏༰ʹͳ͍ͬͯΔ
෦తͳʮ͓͓Αͦͷج४ʯΛܾΊͯɺͦΕͱͷ ૬ରతͳൺֱͰใֹۚΛܾఆ͍ͯ͠Δ ج४Λެ։͠ɺߋ৽͍ͯͬͨ͠΄͏͕ใࠂऀʹ ʢͰ͖ͯͳ͍ʣ CVSSΛࢀߟʹͯ͠Α͍ʢͯ͠ͳ͍ʣ https://www.ipa.go.jp/security/vuln/CVSSv3.html
ଞͷྫʢGoogleʣ https://www.google.com/about/appsecurity/reward-program/
ใࠂͷ༁
શใࠂͷ͏ͪɺ60ʙ70%Λ੬ऑੑೝఆ͠ɺͦͷ༁ʢॴײʣ ϩάΠϯηογϣϯʹ·ͭΘΔ༷ͷෆඋɿ20% ΦʔϓϯϦμΠϨΫλΫϦοΫδϟοΩϯάͷΑ͏ͳɺϑΟο γϯάʹܨ͕Δ੬ऑੑʢʁʣɿ20% HTTPϔομʔͷෆඋɿ20% ϑϨʔϜϫʔΫͷطͷ੬ऑੑɿ10% XSSͳͲɿ10% ͦͷଞɿ20%
ਖ਼໘ͳέʔε͋Δ
ݒ೦ແ͘ͳ͍
ࣾͷਓ͕ಗ໊Ͱ੬ऑੑใࠂ͖ͯͨ͠Β… γεςϜతʹ͛ͳͦ͞͏
ͱ͍͑ɺ ͱͯࢀߟʹͳΔใࠂ
1͖ͬͯͯɺ࠷ߴֹۚΛͬͨͷ4ճ pngʹِͨ͠psϑΝΠϧΛʢ͝ʹΐ͝ʹΐʣ ಛఆͷURLΛ։͔ͤΔ͚ͩͰʢ͝͝ʣ ଞਓͷอଘͨ͠σʔλΛʢ͛;Μ͛;Μʣ Flash༻ͷݹ͍APIͰʢ͋ʔ͏ʔʣ
ใࠂऀͷଚܟॏཁ
·ͨใࠂ͍ͨ͠ɺͱࢥͬͯΒ͏ͨΊʹ ͳΔ͘ૣͯ͘త֬ͳฦ৴Λ৺͕͚Δ ੬ऑੑͰͳ͍ͱஅͨ͠ΓɺॏෳͰ͋ͬͯɺ ࢀߟʹͳͬͨ߹ੵۃతʹใۚΛࢧ͏ ࣦྱʹͳΒͳ͍ݴ༿ݣ͍ ใࠂͷ͙Β͍ӳޠͳͷͰɺӳޠͰͷద ͳදݱʹ໎͏͜ͱ͕͋Δ
·ͱΊ
BugBounty.jpΛͬͯॳظίετΛ͑ͯ੬ऑੑใ ੍ۚΛ࢝Ί·ͨ͠ ӡ༻ͷखؒͦΕͳΓʹ͔͔͍ͬͯΔ ͱݴͬͯਫ਼͕ࠪि1࣌ؒఔ+मਖ਼ίετ͙Β͍ ใֹۚɺग़ͤΔൣғ+ॲཧͰ͖ΔൣғͰΔͷ͕ ྑ͍ͷͰ ใࠂऀͷํʑʹେมײँ͍ͯ͠·͢