Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

脆弱性報奨金制度との付き合い方

Avatar for Atsushi Takayama Atsushi Takayama
July 01, 2017
Technology
5
4.8k

 脆弱性報奨金制度との付き合い方

YAPC::Fukuoka 2017のLTでの発表内容です。

Avatar for Atsushi Takayama

Atsushi Takayama

July 01, 2017
Tweet

More Decks by Atsushi Takayama

See All by Atsushi Takayama
最高の開発者体験の追求が開発生産性を改善し続ける文化を生み出した話
Avatar for Atsushi Takayama edvakf
3
1.4k
NeurIPS 2021 論文読み会: How Modular should Neural Module Networks Be for Systematic Generalization?
Avatar for Atsushi Takayama edvakf
0
190
8年物のJavaのシステムをKotlinに変えていく選択に至るまで
Avatar for Atsushi Takayama edvakf
2
1.1k
ピクシブ社内のImageFlux利用事例紹介
Avatar for Atsushi Takayama edvakf
2
2.9k
学びの文化を育む社内読書会のススメ
Avatar for Atsushi Takayama edvakf
0
300
フルCDNアーキテクチャでサービス設計した話
Avatar for Atsushi Takayama edvakf
5
4k
Goでバイナリを読む+α
Avatar for Atsushi Takayama edvakf
1
970
お前はこれまでに作ったAPIの数を覚えているのか?
Avatar for Atsushi Takayama edvakf
0
2.7k
「ふつうのRailsアプリケーション」についての考え方
Avatar for Atsushi Takayama edvakf
2
900

Other Decks in Technology

See All in Technology
Strands AgentsとNova 2 SonicでS2Sを実践してみた
Avatar for Yuuki Yamashita yama3133
1
1.5k
AIの長期記憶と短期記憶の違いについてAgentCoreを例に深掘ってみた
Avatar for やくも yakumo
4
470
MariaDB Connector/C のcaching_sha2_passwordプラグインの仕様について
Avatar for kubo ayumu boro1234
0
1k
MySQLとPostgreSQLのコレーション / Collation of MySQL and PostgreSQL
Avatar for とみたまさひろ tmtms
1
1.1k
Oracle Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
2
180
AWSに革命を起こすかもしれない新サービス・アップデートについてのお話
Avatar for Yuuki Yamashita yama3133
0
460
Entity Framework Core におけるIN句クエリ最適化について
Avatar for tkym htkym
0
110
ActiveJobUpdates
Avatar for Kuniaki IGARASHI igaiga
1
300
MLflowダイエット大作戦
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
160
Identity Management for Agentic AI 解説
Avatar for Naohiro Fujie fujie
0
350
高度サイバー人材育成専科(後半)
Avatar for Nomizo Nomizo nomizone
0
440
Strands Agents × インタリーブ思考 で変わるAIエージェント設計 / Strands Agents x Interleaved Thinking AI Agents
Avatar for Takanori Suzuki takanorig
4
1.7k

Featured

See All Featured
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.8k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
162
23k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
Avatar for Sophie Logan marketingsoph
0
41
Highjacked: Video Game Concept Design
Avatar for Ryan Kendrick rkendrick25
PRO
0
240
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
47
33k
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
23
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.6k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
0
110
What does AI have to do with Human Rights?
Avatar for Per Axbom axbom
PRO
0
1.9k
Visualization
Avatar for Eitan Lees eitanlees
150
16k

Transcript

  1. ੬ऑੑใ঑੍ۚ౓ͱͷ ෇͖߹͍ํ YAPC::Fukuoka LT

  2. ࣗݾ঺հ ߴࢁ @edvakf ϐΫγϒגࣜձࣾ CTO ݉ ෱ԬΦϑΟε্ཱͪ͛୲౰

  3. None

  4. ຊεϥΠυͰ͸BugBounty.jpʹ͍ͭͯଟ͘ݴٴ͠ ͍ͯ·͕͢ɺ୯ͳΔ1Ϣʔβʔͱͯ͠ͷҙݟͰ͋ ΓɺͦΕҎ্ͷར֐ؔ܎͸·ͬͨ͋͘Γ·ͤΜ

  5. Τϥ͍ਓ ʮηΩϡϦςΟϦεΫͱ͔ා͍͠ɺ ଟগख͔͚ؒͯ΋͍͍͔Βઈର҆શʹ΍ͬͯͶʯ

  6. ηΩϡϦςΟϦεΫΛݮΒ͍ͨ͠ ܦӦऀ΋ݱ৔΋ɺηΩϡϦςΟΛܰࢹ͍ͨ͠ͱ͸ ࢥͬͯͳ͍ ηΩϡϦςΟʹ͔͚Δ΂͖ద੾ͳίετ͕Θ͔Βͳ ͍ 100%Λ໨ࢦͦ͏ͱ͢Δͱແݶʹίετ͕͔͔Δ ։ൃ଎౓Λ٘ਜ਼ʹͨ͘͠ͳ͍

  7. ԑ͋ͬͯɺpixivͰ͸ BugBounty.jpΛར༻͢Δ͜ͱʹͳΓ·ͨ͠

  8. BugBounty.jpͳΒͰ͸ͷར఺

  9. ಋೖίετ͕ݶΓͳ͘௿͍ ੬ऑੑใࠂ૭ޱͳͲͷγεςϜΛ࡞Βͳͯ͘ྑ͍ ηΩϡϦςΟ୲౰ऀ΍ઐ೚νʔϜΛ࡞Βͳͯ͘΋ ࢝ΊΒΕΔ ʢཁ߲΋΄΅ؙ౤͛ͯ͠࡞ͬͯ΋Βͬͨʣ

  10. ৼΓࠐΈ·ΘΓΛؙ౤͛Ͱ͖Δ ϖʔύʔϫʔΫͱ͔ ւ֎ૹۚͱ͔ د෇ۚʹ·ͭΘΔ๏཯ͱ͔ →ߟ͑ͨ͘ͳ͍ʂʂ

  11. ੬ऑੑใ঑ۚӡ༻৬ਓͷ ͓࢓ࣄ

  12. ใࠂͷਫ਼ࠪ ࠶ݱ͢Δ͔ ߈ܸ͸༰қ͔ Өڹൣғ͸Ͳͷ͙Β͍͔ ཁ߲Λຬ͍ͨͯ͠Δ͔ աڈͷใࠂͱॏෳͰͳ͍͔ मਖ਼ͷํ਑ΛཱͯͯissueԽ ؆୯ͳΒͦͷ৔Ͱमਖ਼ લճཱͯͨissueͰٞ࿦͕ਐΜͰ͍ Ε͹ࢀՃ

    ใ঑ֹۚͷܾఆʢޙड़ʣ ใ঑ֹۚදͷߋ৽ ಺෦Ͱͬ͘͟ΓܾΊ͍ͯΔ ຊ౰͸ެ։ͨ͠΄͏͕ྑ͍ͱࢥ͏ ج४ͷमਖ਼ ੬ऑੑͰͳ͍΋ͷ͸ج४Ͱ໌֬Խ ͨ͠΄͏͕਌੾ ͳ͔ͳ͔Ͱ͖͍ͯͳ͍

  13. ͦΕͳΓʹߴ౓ͳ൑அ͕ඞཁ

  14. ݱࡏ͸୲౰ऀ2ਓʢCTOͱϦʔυΤϯδχΞʣͰ
 िʹ1࣌ؒఔ౓Λׂ͍͍ͯΔ ଞνʔϜʹमਖ਼Λཁٻ͍ͯ͘͠ύϫʔ΋ඞཁ ͜ΕҎ্ͷใࠂΛॲཧ͢Δʹ͸ࣾ಺ͷମ੍Λ΋͏ ͪΐͬͱ੔͑ͳ͍ͱ͍͚ͳ͍͔ͳͱ͍͏ॴײ →࠷ॳద౰ʹܾΊͨใ঑͕ۚͩͬͨɺใࠂΛ૿΍ ͨ͢ΊʹҰ౓Ҿ্͖͛ͨ

  15. ద੾ͳใ঑ֹۚΛܾΊΔ

  16. ʮ߈ܸ͢ΔΑΓใࠂͨ͠΄͏͕ ཧʹ͔ͳ͏ఔ౓ʯ

  17. ͸ແཧے

  18. ϐΫγϒͰ͸

  19. ձࣾͱͯ͠ద੾ͱࢥ͏ൣғͰ্ݶઃఆ͢Ε͹ྑ͍ ηΩϡϦςΟϦεΫ͸اۀͷϒϥϯυ΍ѻ͍ͬͯΔ σʔλʹΑ༷ͬͯʑͳͷͰ ։ൃମ੍ͷதͰରԠ͍͚ͯ͠Δͪΐ͏Ͳྑ͍ྔͷใ ࠂ͕དྷΔΑ͏ʹɺधཁͱڙڅͷόϥϯεΛऔΔ िʹ਺݅ ࣾ಺᜛ٞͱͯ͠͸ɺʮຖ݄͍͍ͩͨ͜ͷ͙Β͍ͷۚ ֹͰ΍Γ·͢ʯͱ͍͏಺༰ʹͳ͍ͬͯΔ

  20. ಺෦తͳʮ͓͓Αͦͷج४ʯΛܾΊͯɺͦΕͱͷ
 ૬ରతͳൺֱͰใ঑ֹۚΛܾఆ͍ͯ͠Δ ج४Λެ։͠ɺߋ৽͍ͯͬͨ͠΄͏͕ใࠂऀʹ਌੾ ʢͰ͖ͯͳ͍ʣ CVSSΛࢀߟʹͯ͠΋Α͍ʢͯ͠ͳ͍ʣ https://www.ipa.go.jp/security/vuln/CVSSv3.html

  21. ଞͷྫʢGoogleʣ https://www.google.com/about/appsecurity/reward-program/

  22. ใࠂͷ಺༁

  23. શใࠂͷ͏ͪɺ60ʙ70%Λ੬ऑੑೝఆ͠ɺͦͷ಺༁ʢॴײʣ͸ ϩάΠϯ΍ηογϣϯʹ·ͭΘΔ࢓༷ͷෆඋɿ20% ΦʔϓϯϦμΠϨΫλ΍ΫϦοΫδϟοΩϯάͷΑ͏ͳɺϑΟο γϯάʹܨ͕Δ੬ऑੑʢʁʣɿ20% HTTPϔομʔͷෆඋ౳ɿ20% ϑϨʔϜϫʔΫ౳ͷط஌ͷ੬ऑੑɿ10% XSSͳͲɿ10% ͦͷଞɿ20%

  24. ਖ਼௚໘౗ͳέʔε΋͋Δ

  25. ݒ೦΋ແ͘͸ͳ͍

  26. ࣾ಺ͷਓ͕ಗ໊Ͱ੬ऑੑใࠂ͖ͯͨ͠Β… γεςϜతʹ͸๷͛ͳͦ͞͏

  27. ͱ͸͍͑ɺ ͱͯ΋ࢀߟʹͳΔใࠂ΋

  28. 1೥΍͖ͬͯͯɺ࠷ߴֹۚΛ෷ͬͨͷ͸4ճ pngʹِ૷ͨ͠psϑΝΠϧΛʢ͝ʹΐ͝ʹΐʣ ಛఆͷURLΛ։͔ͤΔ͚ͩͰʢ΋͝΋͝ʣ ଞਓͷอଘͨ͠σʔλΛʢ͛;Μ͛;Μʣ Flash༻ͷݹ͍APIͰʢ͋ʔ͏ʔʣ

  29. ใࠂऀ΁ͷଚܟ͸ॏཁ

  30. ·ͨใࠂ͍ͨ͠ɺͱࢥͬͯ΋Β͏ͨΊʹ ͳΔ΂͘ૣͯ͘త֬ͳฦ৴Λ৺͕͚Δ ੬ऑੑͰ͸ͳ͍ͱ൑அͨ͠ΓɺॏෳͰ͋ͬͯ΋ɺ ࢀߟʹͳͬͨ৔߹͸ੵۃతʹใ঑ۚΛࢧ෷͏ ࣦྱʹͳΒͳ͍ݴ༿ݣ͍ ใࠂͷ൒෼͙Β͍͸ӳޠͳͷͰɺӳޠͰͷద੾ ͳදݱʹ໎͏͜ͱ͕͋Δ

  31. ·ͱΊ

  32. BugBounty.jpΛ࢖ͬͯॳظίετΛ཈͑ͯ੬ऑੑใ঑ ੍ۚ౓Λ࢝Ί·ͨ͠ ӡ༻ͷखؒ͸ͦΕͳΓʹ͔͔͍ͬͯΔ ͱݴͬͯ΋ਫ਼͕ࠪि1࣌ؒఔ౓+मਖ਼ίετ͙Β͍ ใ঑ֹۚ͸ɺग़ͤΔൣғ+ॲཧͰ͖ΔൣғͰ΍Δͷ͕ ྑ͍ͷͰ͸ ใࠂऀͷํʑʹ͸େมײँ͍ͯ͠·͢