YAPC::Fukuoka 2017のLTでの発表内容です。
੬ऑੑใ੍ۚͱͷ͖߹͍ํYAPC::Fukuoka LT
View Slide
ࣗݾհߴࢁ @edvakfϐΫγϒגࣜձࣾ CTO ݉ ԬΦϑΟε্ཱͪ͛୲
ຊεϥΠυͰBugBounty.jpʹ͍ͭͯଟ͘ݴٴ͍ͯ͠·͕͢ɺ୯ͳΔ1Ϣʔβʔͱͯ͠ͷҙݟͰ͋ΓɺͦΕҎ্ͷརؔ·ͬͨ͋͘Γ·ͤΜ
Τϥ͍ਓʮηΩϡϦςΟϦεΫͱ͔ා͍͠ɺଟগख͔͚͍͍͔ؒͯΒઈର҆શʹͬͯͶʯ
ηΩϡϦςΟϦεΫΛݮΒ͍ͨ͠ܦӦऀݱɺηΩϡϦςΟΛܰࢹ͍ͨ͠ͱࢥͬͯͳ͍ηΩϡϦςΟʹ͔͚Δ͖దͳίετ͕Θ͔Βͳ͍100%Λࢦͦ͏ͱ͢Δͱແݶʹίετ͕͔͔Δ։ൃΛ٘ਜ਼ʹͨ͘͠ͳ͍
ԑ͋ͬͯɺpixivͰBugBounty.jpΛར༻͢Δ͜ͱʹͳΓ·ͨ͠
BugBounty.jpͳΒͰͷར
ಋೖίετ͕ݶΓͳ͍͘੬ऑੑใࠂ૭ޱͳͲͷγεςϜΛ࡞Βͳͯ͘ྑ͍ηΩϡϦςΟ୲ऀઐνʔϜΛ࡞Βͳͯ࢝͘ΊΒΕΔʢཁ߲΄΅ؙ͛ͯ͠࡞ͬͯΒͬͨʣ
ৼΓࠐΈ·ΘΓΛؙ͛Ͱ͖ΔϖʔύʔϫʔΫͱ͔ւ֎ૹۚͱ͔دۚʹ·ͭΘΔ๏ͱ͔→ߟ͑ͨ͘ͳ͍ʂʂ
੬ऑੑใۚӡ༻৬ਓͷ͓ࣄ
ใࠂͷਫ਼ࠪ࠶ݱ͢Δ͔߈ܸ༰қ͔ӨڹൣғͲͷ͙Β͍͔ཁ߲Λຬ͍ͨͯ͠Δ͔աڈͷใࠂͱॏෳͰͳ͍͔मਖ਼ͷํΛཱͯͯissueԽ؆୯ͳΒͦͷͰमਖ਼લճཱͯͨissueͰ͕ٞਐΜͰ͍ΕࢀՃใֹۚͷܾఆʢޙड़ʣใֹۚදͷߋ৽෦Ͱͬ͘͟ΓܾΊ͍ͯΔຊެ։ͨ͠΄͏͕ྑ͍ͱࢥ͏ج४ͷमਖ਼੬ऑੑͰͳ͍ͷج४Ͱ໌֬Խͨ͠΄͏͕ͳ͔ͳ͔Ͱ͖͍ͯͳ͍
ͦΕͳΓʹߴͳஅ͕ඞཁ
ݱࡏ୲ऀ2ਓʢCTOͱϦʔυΤϯδχΞʣͰ िʹ1࣌ؒఔΛׂ͍͍ͯΔଞνʔϜʹमਖ਼Λཁٻ͍ͯ͘͠ύϫʔඞཁ͜ΕҎ্ͷใࠂΛॲཧ͢Δʹࣾͷମ੍Λ͏ͪΐͬͱ͑ͳ͍ͱ͍͚ͳ͍͔ͳͱ͍͏ॴײ→࠷ॳదʹܾΊͨใ͕ۚͩͬͨɺใࠂΛ૿ͨ͢ΊʹҰҾ্͖͛ͨ
దͳใֹۚΛܾΊΔ
ʮ߈ܸ͢ΔΑΓใࠂͨ͠΄͏͕ཧʹ͔ͳ͏ఔʯ
ແཧے
ϐΫγϒͰ
ձࣾͱͯ͠దͱࢥ͏ൣғͰ্ݶઃఆ͢Εྑ͍ηΩϡϦςΟϦεΫاۀͷϒϥϯυѻ͍ͬͯΔσʔλʹΑ༷ͬͯʑͳͷͰ։ൃମ੍ͷதͰରԠ͍͚ͯ͠Δͪΐ͏Ͳྑ͍ྔͷใࠂ͕དྷΔΑ͏ʹɺधཁͱڙڅͷόϥϯεΛऔΔिʹ݅ࣾٞͱͯ͠ɺʮຖ݄͍͍ͩͨ͜ͷ͙Β͍ͷֹۚͰΓ·͢ʯͱ͍͏༰ʹͳ͍ͬͯΔ
෦తͳʮ͓͓Αͦͷج४ʯΛܾΊͯɺͦΕͱͷ ૬ରతͳൺֱͰใֹۚΛܾఆ͍ͯ͠Δج४Λެ։͠ɺߋ৽͍ͯͬͨ͠΄͏͕ใࠂऀʹʢͰ͖ͯͳ͍ʣCVSSΛࢀߟʹͯ͠Α͍ʢͯ͠ͳ͍ʣhttps://www.ipa.go.jp/security/vuln/CVSSv3.html
ଞͷྫʢGoogleʣhttps://www.google.com/about/appsecurity/reward-program/
ใࠂͷ༁
શใࠂͷ͏ͪɺ60ʙ70%Λ੬ऑੑೝఆ͠ɺͦͷ༁ʢॴײʣϩάΠϯηογϣϯʹ·ͭΘΔ༷ͷෆඋɿ20%ΦʔϓϯϦμΠϨΫλΫϦοΫδϟοΩϯάͷΑ͏ͳɺϑΟογϯάʹܨ͕Δ੬ऑੑʢʁʣɿ20%HTTPϔομʔͷෆඋɿ20%ϑϨʔϜϫʔΫͷطͷ੬ऑੑɿ10%XSSͳͲɿ10%ͦͷଞɿ20%
ਖ਼໘ͳέʔε͋Δ
ݒ೦ແ͘ͳ͍
ࣾͷਓ͕ಗ໊Ͱ੬ऑੑใࠂ͖ͯͨ͠Β…γεςϜతʹ͛ͳͦ͞͏
ͱ͍͑ɺͱͯࢀߟʹͳΔใࠂ
1͖ͬͯͯɺ࠷ߴֹۚΛͬͨͷ4ճpngʹِͨ͠psϑΝΠϧΛʢ͝ʹΐ͝ʹΐʣಛఆͷURLΛ։͔ͤΔ͚ͩͰʢ͝͝ʣଞਓͷอଘͨ͠σʔλΛʢ͛;Μ͛;ΜʣFlash༻ͷݹ͍APIͰʢ͋ʔ͏ʔʣ
ใࠂऀͷଚܟॏཁ
·ͨใࠂ͍ͨ͠ɺͱࢥͬͯΒ͏ͨΊʹͳΔ͘ૣͯ͘త֬ͳฦ৴Λ৺͕͚Δ੬ऑੑͰͳ͍ͱஅͨ͠ΓɺॏෳͰ͋ͬͯɺࢀߟʹͳͬͨ߹ੵۃతʹใۚΛࢧ͏ࣦྱʹͳΒͳ͍ݴ༿ݣ͍ใࠂͷ͙Β͍ӳޠͳͷͰɺӳޠͰͷదͳදݱʹ໎͏͜ͱ͕͋Δ
·ͱΊ
BugBounty.jpΛͬͯॳظίετΛ͑ͯ੬ऑੑใ੍ۚΛ࢝Ί·ͨ͠ӡ༻ͷखؒͦΕͳΓʹ͔͔͍ͬͯΔͱݴͬͯਫ਼͕ࠪि1࣌ؒఔ+मਖ਼ίετ͙Β͍ใֹۚɺग़ͤΔൣғ+ॲཧͰ͖ΔൣғͰΔͷ͕ྑ͍ͷͰใࠂऀͷํʑʹେมײँ͍ͯ͠·͢