Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性報奨金制度との付き合い方

003f59d1b2e3b864c744f8eb21f68e82?s=47 Atsushi Takayama
July 01, 2017
Technology
5
4.1k

 脆弱性報奨金制度との付き合い方

YAPC::Fukuoka 2017のLTでの発表内容です。

003f59d1b2e3b864c744f8eb21f68e82?s=128

Atsushi Takayama

July 01, 2017
Tweet

More Decks by Atsushi Takayama

See All by Atsushi Takayama
NeurIPS 2021 論文読み会: How Modular should Neural Module Networks Be for Systematic Generalization?
003f59d1b2e3b864c744f8eb21f68e82?s=48 edvakf
0
16
8年物のJavaのシステムをKotlinに変えていく選択に至るまで
003f59d1b2e3b864c744f8eb21f68e82?s=48 edvakf
2
620
ピクシブ社内のImageFlux利用事例紹介
003f59d1b2e3b864c744f8eb21f68e82?s=48 edvakf
1
1.8k
学びの文化を育む社内読書会のススメ
003f59d1b2e3b864c744f8eb21f68e82?s=48 edvakf
0
100
フルCDNアーキテクチャでサービス設計した話
003f59d1b2e3b864c744f8eb21f68e82?s=48 edvakf
5
2.5k
Goでバイナリを読む+α
003f59d1b2e3b864c744f8eb21f68e82?s=48 edvakf
1
650
お前はこれまでに作ったAPIの数を覚えているのか?
003f59d1b2e3b864c744f8eb21f68e82?s=48 edvakf
0
1.9k
「ふつうのRailsアプリケーション」についての考え方
003f59d1b2e3b864c744f8eb21f68e82?s=48 edvakf
2
430
ggplot.galleryというお遊びウェブアプリケーションを作った話
003f59d1b2e3b864c744f8eb21f68e82?s=48 edvakf
0
250

Other Decks in Technology

See All in Technology
SRENEXT2022 組織にSREを実装していくまでの道のり
9cd2d753636f4849c881ccf2381228ee?s=48 marnie0301
1
240
JAWS-UG 朝会 #33 登壇資料
08dd0b93e011904f40d60d5a1b54c671?s=48 takakuni
0
370
Poolにおける足を止めないシステム基盤構築
F811665799e1139b63140b72f3e8631f?s=48 winebarrel
3
650
Power Query 日時の変換でちょっと焦ったケース +1 / Power Query Some cases
966e29b84ae7dbde170f66b0bc75b7a6?s=48 ishiayaya
0
150
目と耳を持った自然言語処理 - スタートアップにおける価値創出のために
64fb973c47087ece7fb9b45d5b8593a4?s=48 yag_ays
PRO
0
520
一人から始めるプロダクトSRE / How to start SRE in a product team, all by yourself
12a5cec7a54018170b1a009731acf477?s=48 vtryo
4
2.4k
Stripe Search APIを利用した、LINEとStripeの顧客情報連携/line-dc-202205
E77ca94266ffd3d69f8aee91f7468264?s=48 stripehideokamoto
0
120
Google Cloud Updates 2022/04/01 - 2022/04/15
609308e6510e41133d30460eef1ccd36?s=48 no24oka
1
110
Power BI Premiumでデータ準備!
0cc2ebc5781bcb2cae5f9ab7efa40ff2?s=48 hanaseleb
1
180
Puny to Powerful PostgreSQL Rails Apps
65e84915478a95a22dd40da712f304df?s=48 andyatkinson
PRO
0
230
⚡Lightdashを試してみた
2c6a9bc003b77685330cc9359b6fbbc4?s=48 k_data_analyst
0
170
次期LTSに備えよ!AOS 6.1 HCI Core 編
A4d5b3aae2e67f31b513c88c726514c2?s=48 smzksts
0
170

Featured

See All Featured
Optimizing for Happiness
25c7c18223fb42a4c6ae1c8db6f50f9b?s=48 mojombo
365
63k
Visualization
170b760e0147792d0140e59ec78e9893?s=48 eitanlees
124
11k
Fontdeck: Realign not Redesign
0bce06bd06ee7a2c4f5500f25dcf7f18?s=48 paulrobertlloyd
73
4.1k
Making Projects Easy
C4de88ea47538e4594750e3861a341c8?s=48 brettharned
98
4.3k
Creatively Recalculating Your Daily Design Routine
48c098b6579220a67a6ba949be6e4b5a?s=48 revolveconf
205
10k
5 minutes of I Can Smell Your CMS
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
196
18k
We Have a Design System, Now What?
95d9f37115fbb0d13135d0f77132f856?s=48 morganepeng
35
2.9k
Scaling GitHub
78b475797a14c84799063c7cd073962f?s=48 holman
451
140k
Adopting Sorbet at Scale
2bb923c57a1fdc3a2eb484bb8d565fd2?s=48 ufuk
63
7.5k
10 Git Anti Patterns You Should be Aware of
Dafc4723e9a1c067796c0fec6f509774?s=48 lemiorhan
638
52k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
E425fe9f170efa0dfaf8ab69d7107418?s=48 aki_i
21
14k
From Idea to $5000 a Month in 5 Months
E4f5d494ebdc9e7cce1aecf3ce3e8bc1?s=48 shpigford
372
44k

Transcript

  1. ੬ऑੑใ঑੍ۚ౓ͱͷ ෇͖߹͍ํ YAPC::Fukuoka LT

  2. ࣗݾ঺հ ߴࢁ @edvakf ϐΫγϒגࣜձࣾ CTO ݉ ෱ԬΦϑΟε্ཱͪ͛୲౰

  3. None

  4. ຊεϥΠυͰ͸BugBounty.jpʹ͍ͭͯଟ͘ݴٴ͠ ͍ͯ·͕͢ɺ୯ͳΔ1Ϣʔβʔͱͯ͠ͷҙݟͰ͋ ΓɺͦΕҎ্ͷར֐ؔ܎͸·ͬͨ͋͘Γ·ͤΜ

  5. Τϥ͍ਓ ʮηΩϡϦςΟϦεΫͱ͔ා͍͠ɺ ଟগख͔͚ؒͯ΋͍͍͔Βઈର҆શʹ΍ͬͯͶʯ

  6. ηΩϡϦςΟϦεΫΛݮΒ͍ͨ͠ ܦӦऀ΋ݱ৔΋ɺηΩϡϦςΟΛܰࢹ͍ͨ͠ͱ͸ ࢥͬͯͳ͍ ηΩϡϦςΟʹ͔͚Δ΂͖ద੾ͳίετ͕Θ͔Βͳ ͍ 100%Λ໨ࢦͦ͏ͱ͢Δͱແݶʹίετ͕͔͔Δ ։ൃ଎౓Λ٘ਜ਼ʹͨ͘͠ͳ͍

  7. ԑ͋ͬͯɺpixivͰ͸ BugBounty.jpΛར༻͢Δ͜ͱʹͳΓ·ͨ͠

  8. BugBounty.jpͳΒͰ͸ͷར఺

  9. ಋೖίετ͕ݶΓͳ͘௿͍ ੬ऑੑใࠂ૭ޱͳͲͷγεςϜΛ࡞Βͳͯ͘ྑ͍ ηΩϡϦςΟ୲౰ऀ΍ઐ೚νʔϜΛ࡞Βͳͯ͘΋ ࢝ΊΒΕΔ ʢཁ߲΋΄΅ؙ౤͛ͯ͠࡞ͬͯ΋Βͬͨʣ

  10. ৼΓࠐΈ·ΘΓΛؙ౤͛Ͱ͖Δ ϖʔύʔϫʔΫͱ͔ ւ֎ૹۚͱ͔ د෇ۚʹ·ͭΘΔ๏཯ͱ͔ →ߟ͑ͨ͘ͳ͍ʂʂ

  11. ੬ऑੑใ঑ۚӡ༻৬ਓͷ ͓࢓ࣄ

  12. ใࠂͷਫ਼ࠪ ࠶ݱ͢Δ͔ ߈ܸ͸༰қ͔ Өڹൣғ͸Ͳͷ͙Β͍͔ ཁ߲Λຬ͍ͨͯ͠Δ͔ աڈͷใࠂͱॏෳͰͳ͍͔ मਖ਼ͷํ਑ΛཱͯͯissueԽ ؆୯ͳΒͦͷ৔Ͱमਖ਼ લճཱͯͨissueͰٞ࿦͕ਐΜͰ͍ Ε͹ࢀՃ

    ใ঑ֹۚͷܾఆʢޙड़ʣ ใ঑ֹۚදͷߋ৽ ಺෦Ͱͬ͘͟ΓܾΊ͍ͯΔ ຊ౰͸ެ։ͨ͠΄͏͕ྑ͍ͱࢥ͏ ج४ͷमਖ਼ ੬ऑੑͰͳ͍΋ͷ͸ج४Ͱ໌֬Խ ͨ͠΄͏͕਌੾ ͳ͔ͳ͔Ͱ͖͍ͯͳ͍

  13. ͦΕͳΓʹߴ౓ͳ൑அ͕ඞཁ

  14. ݱࡏ͸୲౰ऀ2ਓʢCTOͱϦʔυΤϯδχΞʣͰ
 िʹ1࣌ؒఔ౓Λׂ͍͍ͯΔ ଞνʔϜʹमਖ਼Λཁٻ͍ͯ͘͠ύϫʔ΋ඞཁ ͜ΕҎ্ͷใࠂΛॲཧ͢Δʹ͸ࣾ಺ͷମ੍Λ΋͏ ͪΐͬͱ੔͑ͳ͍ͱ͍͚ͳ͍͔ͳͱ͍͏ॴײ →࠷ॳద౰ʹܾΊͨใ঑͕ۚͩͬͨɺใࠂΛ૿΍ ͨ͢ΊʹҰ౓Ҿ্͖͛ͨ

  15. ద੾ͳใ঑ֹۚΛܾΊΔ

  16. ʮ߈ܸ͢ΔΑΓใࠂͨ͠΄͏͕ ཧʹ͔ͳ͏ఔ౓ʯ

  17. ͸ແཧے

  18. ϐΫγϒͰ͸

  19. ձࣾͱͯ͠ద੾ͱࢥ͏ൣғͰ্ݶઃఆ͢Ε͹ྑ͍ ηΩϡϦςΟϦεΫ͸اۀͷϒϥϯυ΍ѻ͍ͬͯΔ σʔλʹΑ༷ͬͯʑͳͷͰ ։ൃମ੍ͷதͰରԠ͍͚ͯ͠Δͪΐ͏Ͳྑ͍ྔͷใ ࠂ͕དྷΔΑ͏ʹɺधཁͱڙڅͷόϥϯεΛऔΔ िʹ਺݅ ࣾ಺᜛ٞͱͯ͠͸ɺʮຖ݄͍͍ͩͨ͜ͷ͙Β͍ͷۚ ֹͰ΍Γ·͢ʯͱ͍͏಺༰ʹͳ͍ͬͯΔ

  20. ಺෦తͳʮ͓͓Αͦͷج४ʯΛܾΊͯɺͦΕͱͷ
 ૬ରతͳൺֱͰใ঑ֹۚΛܾఆ͍ͯ͠Δ ج४Λެ։͠ɺߋ৽͍ͯͬͨ͠΄͏͕ใࠂऀʹ਌੾ ʢͰ͖ͯͳ͍ʣ CVSSΛࢀߟʹͯ͠΋Α͍ʢͯ͠ͳ͍ʣ https://www.ipa.go.jp/security/vuln/CVSSv3.html

  21. ଞͷྫʢGoogleʣ https://www.google.com/about/appsecurity/reward-program/

  22. ใࠂͷ಺༁

  23. શใࠂͷ͏ͪɺ60ʙ70%Λ੬ऑੑೝఆ͠ɺͦͷ಺༁ʢॴײʣ͸ ϩάΠϯ΍ηογϣϯʹ·ͭΘΔ࢓༷ͷෆඋɿ20% ΦʔϓϯϦμΠϨΫλ΍ΫϦοΫδϟοΩϯάͷΑ͏ͳɺϑΟο γϯάʹܨ͕Δ੬ऑੑʢʁʣɿ20% HTTPϔομʔͷෆඋ౳ɿ20% ϑϨʔϜϫʔΫ౳ͷط஌ͷ੬ऑੑɿ10% XSSͳͲɿ10% ͦͷଞɿ20%

  24. ਖ਼௚໘౗ͳέʔε΋͋Δ

  25. ݒ೦΋ແ͘͸ͳ͍

  26. ࣾ಺ͷਓ͕ಗ໊Ͱ੬ऑੑใࠂ͖ͯͨ͠Β… γεςϜతʹ͸๷͛ͳͦ͞͏

  27. ͱ͸͍͑ɺ ͱͯ΋ࢀߟʹͳΔใࠂ΋

  28. 1೥΍͖ͬͯͯɺ࠷ߴֹۚΛ෷ͬͨͷ͸4ճ pngʹِ૷ͨ͠psϑΝΠϧΛʢ͝ʹΐ͝ʹΐʣ ಛఆͷURLΛ։͔ͤΔ͚ͩͰʢ΋͝΋͝ʣ ଞਓͷอଘͨ͠σʔλΛʢ͛;Μ͛;Μʣ Flash༻ͷݹ͍APIͰʢ͋ʔ͏ʔʣ

  29. ใࠂऀ΁ͷଚܟ͸ॏཁ

  30. ·ͨใࠂ͍ͨ͠ɺͱࢥͬͯ΋Β͏ͨΊʹ ͳΔ΂͘ૣͯ͘త֬ͳฦ৴Λ৺͕͚Δ ੬ऑੑͰ͸ͳ͍ͱ൑அͨ͠ΓɺॏෳͰ͋ͬͯ΋ɺ ࢀߟʹͳͬͨ৔߹͸ੵۃతʹใ঑ۚΛࢧ෷͏ ࣦྱʹͳΒͳ͍ݴ༿ݣ͍ ใࠂͷ൒෼͙Β͍͸ӳޠͳͷͰɺӳޠͰͷద੾ ͳදݱʹ໎͏͜ͱ͕͋Δ

  31. ·ͱΊ

  32. BugBounty.jpΛ࢖ͬͯॳظίετΛ཈͑ͯ੬ऑੑใ঑ ੍ۚ౓Λ࢝Ί·ͨ͠ ӡ༻ͷखؒ͸ͦΕͳΓʹ͔͔͍ͬͯΔ ͱݴͬͯ΋ਫ਼͕ࠪि1࣌ؒఔ౓+मਖ਼ίετ͙Β͍ ใ঑ֹۚ͸ɺग़ͤΔൣғ+ॲཧͰ͖ΔൣғͰ΍Δͷ͕ ྑ͍ͷͰ͸ ใࠂऀͷํʑʹ͸େมײँ͍ͯ͠·͢