Upgrade to Pro — share decks privately, control downloads, hide ads and more …

学生向けバグバウンティイベントP3NFEST参加のキロク CHUO Tech #6

Nealle
February 26, 2025

学生向けバグバウンティイベントP3NFEST参加のキロク CHUO Tech #6

Nealle

February 26, 2025
Tweet

More Decks by Nealle

Other Decks in Programming

Transcript

  1. 6 参加の経緯 脆弱性検知はいろいろやれてる • 年次の脆弱性診断 • 各種ツールによる脆弱性スキャン ◦ trivy /

    Dependabot / GuardDuty 攻撃者目線の対策はまだまだ… バグバウンティとかやれるといいかも いきなりは怖くない?運用回る? • コミュニケーションコスト • 修正対応 • etc. VS イベント参加なら参加者・期間ともに限定されてハードル低め! お試しには良さそう!
  2. 9 プログラムの用意:診断環境 禁止事項の検討 • 外部に影響が出てしまう操作はあらかじめポリシーで禁止しておく ◦ 外部APIへの連携を含む機能 etc. • 権限でしばれるならそれがベター

    アカウントの用意 • toB向け管理画面はサインアップ機能を公開していない • アカウントを事前に払い出さないといけない • 診断に必要な権限のセットを検討して用意 → やることは脆弱性診断の準備と似ている
  3. 10 プログラムの用意:報奨金の設定 支払い額の設定 • 重大度ごとに設定 ◦ デフォルト設定を参考に • 今回はイベントなので情報提供レベルも 有用な報告には極力お支払いすることに

    支払い額の設定画面 予算上限の設定 • 報奨金総額の上限を設定できる ◦ 報告が来すぎた場合も安心 • ニーリーでは10万でお試し • 社内の予算に対して多少余裕持たせるのがよさそう ◦ 予算尽きても来ている報告には報奨金支払いたい
  4. 11 実際の対応 準備を済ませたらいざプログラムスタート! 報告の受け取り ・脆弱性の概要 ・再現手順 ・CVSSスコア の報告を受ける 報奨金の決定 CVSSスコアの

    重大度で目安の 報奨金が決まる 調整して報奨金を お支払い 脆弱性の修正 リスクを元に 対応期限と 対応チームを決定 緊急度の高いものは 運営側で即対応することも 内容の調査 ・再現するか ・原因 ・既知の脆弱性か ・リスク を調べる