Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性報奨金制度との付き合い方
Search
Atsushi Takayama
July 01, 2017
Technology
5
4.8k
脆弱性報奨金制度との付き合い方
YAPC::Fukuoka 2017のLTでの発表内容です。
Atsushi Takayama
July 01, 2017
Tweet
Share
More Decks by Atsushi Takayama
See All by Atsushi Takayama
最高の開発者体験の追求が開発生産性を改善し続ける文化を生み出した話
edvakf
3
1.3k
NeurIPS 2021 論文読み会: How Modular should Neural Module Networks Be for Systematic Generalization?
edvakf
0
170
8年物のJavaのシステムをKotlinに変えていく選択に至るまで
edvakf
2
1.1k
ピクシブ社内のImageFlux利用事例紹介
edvakf
1
2.8k
学びの文化を育む社内読書会のススメ
edvakf
0
270
フルCDNアーキテクチャでサービス設計した話
edvakf
5
3.9k
Goでバイナリを読む+α
edvakf
1
950
お前はこれまでに作ったAPIの数を覚えているのか?
edvakf
0
2.5k
「ふつうのRailsアプリケーション」についての考え方
edvakf
2
850
Other Decks in Technology
See All in Technology
今だから言えるセキュリティLT_Wordpress5.7.2未満を一斉アップデートせよ
cuebic9bic
2
200
Deep Security Conference 2025:生成AI時代のセキュリティ監視 /dsc2025-genai-secmon
mizutani
5
3.9k
RapidPen: AIエージェントによる高度なペネトレーションテスト自動化の研究開発
laysakura
1
370
Recoil脱却の現状と挑戦
kirik
2
110
データ駆動経営の道しるべ:プロダクト開発指標の戦略的活用法
ham0215
2
220
AIを使っていい感じにE2Eテストを書けるようになるまで / Trying to Write Good E2E Tests with AI
katawara
2
1.3k
データエンジニアリング 4年前と変わったこと、 4年前と変わらないこと
tanakarian
2
330
Data Engineering Study#30 LT資料
tetsuroito
1
530
Ktor + Google Cloud Tasks/PubSub におけるOTel Messaging計装の実践
sansantech
PRO
1
210
AI Ready API ─ AI時代に求められるAPI設計とは?/ AI-Ready API - Designing MCP and APIs in the AI Era
yokawasa
20
5.6k
claude codeでPrompt Engineering
iori0311
0
300
MCPに潜むセキュリティリスクを考えてみる
milix_m
0
570
Featured
See All Featured
Into the Great Unknown - MozCon
thekraken
40
1.9k
A designer walks into a library…
pauljervisheath
207
24k
How to Ace a Technical Interview
jacobian
278
23k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
138
34k
GraphQLとの向き合い方2022年版
quramy
49
14k
Building a Modern Day E-commerce SEO Strategy
aleyda
42
7.4k
The Straight Up "How To Draw Better" Workshop
denniskardys
235
140k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
10
990
Why Our Code Smells
bkeepers
PRO
337
57k
YesSQL, Process and Tooling at Scale
rocio
173
14k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
26k
Transcript
੬ऑੑใ੍ۚͱͷ ͖߹͍ํ YAPC::Fukuoka LT
ࣗݾհ ߴࢁ @edvakf ϐΫγϒגࣜձࣾ CTO ݉ ԬΦϑΟε্ཱͪ͛୲
None
ຊεϥΠυͰBugBounty.jpʹ͍ͭͯଟ͘ݴٴ͠ ͍ͯ·͕͢ɺ୯ͳΔ1Ϣʔβʔͱͯ͠ͷҙݟͰ͋ ΓɺͦΕҎ্ͷརؔ·ͬͨ͋͘Γ·ͤΜ
Τϥ͍ਓ ʮηΩϡϦςΟϦεΫͱ͔ා͍͠ɺ ଟগख͔͚͍͍͔ؒͯΒઈର҆શʹͬͯͶʯ
ηΩϡϦςΟϦεΫΛݮΒ͍ͨ͠ ܦӦऀݱɺηΩϡϦςΟΛܰࢹ͍ͨ͠ͱ ࢥͬͯͳ͍ ηΩϡϦςΟʹ͔͚Δ͖దͳίετ͕Θ͔Βͳ ͍ 100%Λࢦͦ͏ͱ͢Δͱແݶʹίετ͕͔͔Δ ։ൃΛ٘ਜ਼ʹͨ͘͠ͳ͍
ԑ͋ͬͯɺpixivͰ BugBounty.jpΛར༻͢Δ͜ͱʹͳΓ·ͨ͠
BugBounty.jpͳΒͰͷར
ಋೖίετ͕ݶΓͳ͍͘ ੬ऑੑใࠂ૭ޱͳͲͷγεςϜΛ࡞Βͳͯ͘ྑ͍ ηΩϡϦςΟ୲ऀઐνʔϜΛ࡞Βͳͯ͘ ࢝ΊΒΕΔ ʢཁ߲΄΅ؙ͛ͯ͠࡞ͬͯΒͬͨʣ
ৼΓࠐΈ·ΘΓΛؙ͛Ͱ͖Δ ϖʔύʔϫʔΫͱ͔ ւ֎ૹۚͱ͔ دۚʹ·ͭΘΔ๏ͱ͔ →ߟ͑ͨ͘ͳ͍ʂʂ
੬ऑੑใۚӡ༻৬ਓͷ ͓ࣄ
ใࠂͷਫ਼ࠪ ࠶ݱ͢Δ͔ ߈ܸ༰қ͔ ӨڹൣғͲͷ͙Β͍͔ ཁ߲Λຬ͍ͨͯ͠Δ͔ աڈͷใࠂͱॏෳͰͳ͍͔ मਖ਼ͷํΛཱͯͯissueԽ ؆୯ͳΒͦͷͰमਖ਼ લճཱͯͨissueͰ͕ٞਐΜͰ͍ ΕࢀՃ
ใֹۚͷܾఆʢޙड़ʣ ใֹۚදͷߋ৽ ෦Ͱͬ͘͟ΓܾΊ͍ͯΔ ຊެ։ͨ͠΄͏͕ྑ͍ͱࢥ͏ ج४ͷमਖ਼ ੬ऑੑͰͳ͍ͷج४Ͱ໌֬Խ ͨ͠΄͏͕ ͳ͔ͳ͔Ͱ͖͍ͯͳ͍
ͦΕͳΓʹߴͳஅ͕ඞཁ
ݱࡏ୲ऀ2ਓʢCTOͱϦʔυΤϯδχΞʣͰ िʹ1࣌ؒఔΛׂ͍͍ͯΔ ଞνʔϜʹमਖ਼Λཁٻ͍ͯ͘͠ύϫʔඞཁ ͜ΕҎ্ͷใࠂΛॲཧ͢Δʹࣾͷମ੍Λ͏ ͪΐͬͱ͑ͳ͍ͱ͍͚ͳ͍͔ͳͱ͍͏ॴײ →࠷ॳదʹܾΊͨใ͕ۚͩͬͨɺใࠂΛ૿ ͨ͢ΊʹҰҾ্͖͛ͨ
దͳใֹۚΛܾΊΔ
ʮ߈ܸ͢ΔΑΓใࠂͨ͠΄͏͕ ཧʹ͔ͳ͏ఔʯ
ແཧے
ϐΫγϒͰ
ձࣾͱͯ͠దͱࢥ͏ൣғͰ্ݶઃఆ͢Εྑ͍ ηΩϡϦςΟϦεΫاۀͷϒϥϯυѻ͍ͬͯΔ σʔλʹΑ༷ͬͯʑͳͷͰ ։ൃମ੍ͷதͰରԠ͍͚ͯ͠Δͪΐ͏Ͳྑ͍ྔͷใ ࠂ͕དྷΔΑ͏ʹɺधཁͱڙڅͷόϥϯεΛऔΔ िʹ݅ ࣾٞͱͯ͠ɺʮຖ݄͍͍ͩͨ͜ͷ͙Β͍ͷۚ ֹͰΓ·͢ʯͱ͍͏༰ʹͳ͍ͬͯΔ
෦తͳʮ͓͓Αͦͷج४ʯΛܾΊͯɺͦΕͱͷ ૬ରతͳൺֱͰใֹۚΛܾఆ͍ͯ͠Δ ج४Λެ։͠ɺߋ৽͍ͯͬͨ͠΄͏͕ใࠂऀʹ ʢͰ͖ͯͳ͍ʣ CVSSΛࢀߟʹͯ͠Α͍ʢͯ͠ͳ͍ʣ https://www.ipa.go.jp/security/vuln/CVSSv3.html
ଞͷྫʢGoogleʣ https://www.google.com/about/appsecurity/reward-program/
ใࠂͷ༁
શใࠂͷ͏ͪɺ60ʙ70%Λ੬ऑੑೝఆ͠ɺͦͷ༁ʢॴײʣ ϩάΠϯηογϣϯʹ·ͭΘΔ༷ͷෆඋɿ20% ΦʔϓϯϦμΠϨΫλΫϦοΫδϟοΩϯάͷΑ͏ͳɺϑΟο γϯάʹܨ͕Δ੬ऑੑʢʁʣɿ20% HTTPϔομʔͷෆඋɿ20% ϑϨʔϜϫʔΫͷطͷ੬ऑੑɿ10% XSSͳͲɿ10% ͦͷଞɿ20%
ਖ਼໘ͳέʔε͋Δ
ݒ೦ແ͘ͳ͍
ࣾͷਓ͕ಗ໊Ͱ੬ऑੑใࠂ͖ͯͨ͠Β… γεςϜతʹ͛ͳͦ͞͏
ͱ͍͑ɺ ͱͯࢀߟʹͳΔใࠂ
1͖ͬͯͯɺ࠷ߴֹۚΛͬͨͷ4ճ pngʹِͨ͠psϑΝΠϧΛʢ͝ʹΐ͝ʹΐʣ ಛఆͷURLΛ։͔ͤΔ͚ͩͰʢ͝͝ʣ ଞਓͷอଘͨ͠σʔλΛʢ͛;Μ͛;Μʣ Flash༻ͷݹ͍APIͰʢ͋ʔ͏ʔʣ
ใࠂऀͷଚܟॏཁ
·ͨใࠂ͍ͨ͠ɺͱࢥͬͯΒ͏ͨΊʹ ͳΔ͘ૣͯ͘త֬ͳฦ৴Λ৺͕͚Δ ੬ऑੑͰͳ͍ͱஅͨ͠ΓɺॏෳͰ͋ͬͯɺ ࢀߟʹͳͬͨ߹ੵۃతʹใۚΛࢧ͏ ࣦྱʹͳΒͳ͍ݴ༿ݣ͍ ใࠂͷ͙Β͍ӳޠͳͷͰɺӳޠͰͷద ͳදݱʹ໎͏͜ͱ͕͋Δ
·ͱΊ
BugBounty.jpΛͬͯॳظίετΛ͑ͯ੬ऑੑใ ੍ۚΛ࢝Ί·ͨ͠ ӡ༻ͷखؒͦΕͳΓʹ͔͔͍ͬͯΔ ͱݴͬͯਫ਼͕ࠪि1࣌ؒఔ+मਖ਼ίετ͙Β͍ ใֹۚɺग़ͤΔൣғ+ॲཧͰ͖ΔൣғͰΔͷ͕ ྑ͍ͷͰ ใࠂऀͷํʑʹେมײँ͍ͯ͠·͢