Slide 1

Slide 1 text

1
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 2024年8月31日(土)10:00 〜 12:00
 実践的なバグバウンティ入門 
 P3NFEST 2024 Summer 森岡 優太 (@scgajge12)
 ハンズオン講座

Slide 2

Slide 2 text

2
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 本講座の注意点 
 注意・免責事項 
 ● 本資料は、発表者の個人的な見解に基づいて作成されており、 
 所属組織の見解を代表するものではありません。 
 ● 本資料は、セキュリティに関する知見を広く共有する目的で 
 作成されており、悪用行為を推奨するものではありません。 
 ● 本資料は、非公開とします。( 外部公開禁止 ) [公開用(非公開部分あり)] 
 ○ SNSで感想等をつぶやくことは可とします。 
 ■ ハッシュタグ: #P3NFEST
 ・完全版: 192ページ ・公開版: 110ページ

Slide 3

Slide 3 text

3
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 前置き


Slide 4

Slide 4 text

4
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 自己紹介「森岡 優太(もりおか ゆうた)」 
 ■略歴
 神奈川県 出身・在住
 2024年4月〜 GMOサイバーセキュリティ byイエラエ株式会社
                        新卒 セキュリティエンジニア
 ■サブ情報 
 学生時代から数社でWebやクラウドなどの脆弱性診断等の業務を経験し、
 現在は所属企業でWebペネトレーションテスト やソースコード診断等の業務に従事する。 
 外部活動では、サイバーセキュリティに関する登壇や講師、執筆などに取り組み、 
 プライベートでもバグバウンティで脆弱性探しに取り組んでいる。 
    AWS Community Builder (Security & Identity Builder since 2024) 
 
           現役のバグハンター! 
 @scgajge12 https://scgajge12.github.io/ 直近のイベント ・6月:セキュリティミニキャンプ 講師 ・7月:ISC2 Japan Chapter 登壇 ・7月:Hack Fes. 2024 講師

Slide 5

Slide 5 text

5
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 Webペネトレーションテスト (WebPT) 
 https://gmo-cybersecurity.com/service/assessment/pentest/

Slide 6

Slide 6 text

6
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 2024年2月「P3NFEST Conf 2024」登壇 
 https://x.com/securesky_tech/status/1759417079755919628

Slide 7

Slide 7 text

7
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 インタビュー取材「レバテックLAB」 
 バグバウンティに取り組む理由とその醍醐味 
 https://levtech.jp/media/article/interview/detail_466/

Slide 8

Slide 8 text

8
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 直近のバグバウンティ実績 (2024年,学生時代) 
 欧州 No1 バグバウンティプラットフォーム「Intigriti」 
 ● 2024年 Q1 (1~3月) 
 ○ ランキング:17位 受賞 (20位以内)
 ○ 脆弱性認定(Accept):31件
 ● 2024年 2月 
 ○ ランキング:6位
 ○ 脆弱性認定(Accept):25件
 https://scgajge12.hatenablog.com/entry/intigriti_q1_2024

Slide 9

Slide 9 text

9
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 ポッドキャスト「Bug Bounty JP Podcast」 
 https://bugbountyjppodcast.notion.site/Bug-Bounty-JP-Podcast-8bf1080383a54c4a8848f10bfeb874b3 Discord コミュニティサーバーを開設しました!

Slide 10

Slide 10 text

10
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 本題


Slide 11

Slide 11 text

11
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 本イベントの概要 
 P3NFEST(ペンフェスト) 
 ● 学生のためのサイバーセキュリティカンファレンス (主催:IssueHunt) 
 ○ 第1回:2024年2月17日 P3NFEST Conf 2024
 ○ 第2回:2024年8月31日 P3NFEST 2024 Summer(今回)
 ● 豪華登壇者による講演や脆弱性診断入門等のハンズオン講座を提供。
 現地参加学生に交通費を支給!
 ● 日本国内の学生に対してカンファレンスやバグバウンティを通じて
 「様々なセキュリティキャリア」をより身近なものとするべく、開催。
 https://issuehunt.jp/events/2024/summer/p3nfest

Slide 12

Slide 12 text

12
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 Q. 質問
 1. バグバウンティを元々知っていた人? 
 2. バグバウンティに取り組んだことある人? 


Slide 13

Slide 13 text

13
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 本講座の概要 (定義) 
 『実践的なバグバウンティ入門』 
 本講座では、バグバウンティにおける初期調査や脆弱性調査などの方法 を
 ハンズオン形式で実施します。 
 特にバグハンターとしての視点 で、実際のバグバウンティの対象に対して 
 どういう情報収集をしたり、どういう観点で脆弱性調査をするかなどの 
 ポイントを押さえながら 、一緒に体験していただきます。 
 また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に
 限定して、Webセキュリティの要素のみを取り扱います。
 https://issuehunt.jp/events/2024/summer/p3nfest

Slide 14

Slide 14 text

14
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 本講座のポイント (ゴール) 
 1. バグバウンティの概要 2. ドメイン(Web)に対する初期調査の方法 3. ドメイン(Web)に対する脆弱性調査の方法

Slide 15

Slide 15 text

15
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 本講座のポイント (ゴール) 
 1. バグバウンティの概要 2. ドメイン(Web)に対する初期調査の方法 3. ドメイン(Web)に対する脆弱性調査の方法 バグバウンティの特長を知る ● CTFやHTBとのアプローチの違い

Slide 16

Slide 16 text

16
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 本講座の視点 
 全体的に話すこと 
 ● ⚪ 取り上げる 
 ○ バグバウンティで脆弱性を探す側の視点 (バグハンター) 
 ○ 対象:ドメイン(WebサイトやWebアプリケーション)
 ○ レベル感:入門者向けの話 
 ● × 取り上げない 
 ○ バグバウンティを導入する企業側の視点 (事業者) 
 ○ 対象:スマホアプリ, デスクトップアプリ, ソフトウェア, ソースコード 
 ○ レベル感:中堅者以上の話 


Slide 17

Slide 17 text

17
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明 
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A


Slide 18

Slide 18 text

18
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要 
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A
 


Slide 19

Slide 19 text

19
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ (Bug Bounty) 


Slide 20

Slide 20 text

20
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ (Bug Bounty) 
 バグバウンティ / 脆弱性報奨金制度 
 ● 許可されたリアルワールドのサービスに対して脆弱性を調査し、
 発見して報告された脆弱性に対して報奨金が支払われる制度のこと。
 


Slide 21

Slide 21 text

21
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ (Bug Bounty) 
 バグバウンティプラットフォーム 
 ● バグバウンティを導入したい企業と脆弱性を探すバグハンターを
 仲介して、運営するプラットフォームのこと。
 バグハンター 導入企業 仲介役 (トリアージ )

Slide 22

Slide 22 text

22
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ (Bug Bounty) 
 3大バグバウンティプラットフォーム 
 


Slide 23

Slide 23 text

23
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ (Bug Bounty) 
 日本国内最大バグバウンティプラットフォーム「IssueHunt」 
 
 https://issuehunt.jp/bugbounty

Slide 24

Slide 24 text

24
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ (Bug Bounty) 
 バグバウンティを導入している日系企業:例 
 HackerOne 
 ● ピクシブ
 ● LINEヤフー
 ● トヨタ自動車
 ● ソニーグループ
 ● 〜 海外 〜
 ○ Uber, スターバックス
 ○ Netflix, Spotify, Yahoo
 ○ X , PayPal, Slack
 ○ アメリカ合衆国国防総省
 IssueHunt 
 ● LINE WORKS
 ● コインチェック
 ● 楽天グループ
 ● エニグモ
 ● 日本経済新聞社
 ● Finatextホールディングス
 ● ヌーラボ
 ● kubell (旧Chatwork)
 ● ビットバンク


Slide 25

Slide 25 text

25
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ (Bug Bounty) 
 バグバウンティプログラムの種類 
 ● BBP (Bug Bounty Program) 
 ○ 脆弱性レポートに対して危険度に合わせて報酬金が支払われる 
 ● VDP (Vulnerability Disclosure Program) 
 ○ 脆弱性報告窓口の役割なプログラム
 ○ 脆弱性レポートに対して報酬金が支払われない 
 ■ プログラムによっては企業の限定グッズ(Swag)を提供したりする
 ■ BBPに比べてバグハンターの競争率が低い傾向あり 


Slide 26

Slide 26 text

26
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ (Bug Bounty) 
 プログラムのタイプ 
 ● パブリックプログラム 
 ○ 誰でも取り組むことが可能なプログラム
 ● プライベートプログラム 
 ○ 一部の招待された者のみ 取り組むことが可能なプログラム
 ■ ライバルとなるバグハンター がパブリックプログラムより少ない


Slide 27

Slide 27 text

27
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ (Bug Bounty) 
 バグバウンティの特徴 
   「報酬金」 が各脆弱性の第一報告者にのみ 支払われる点
 
 脆弱性レポートの判定 (トリアージ) 
 ● Accept :第一報告で脆弱性認定 (報酬金あり)
 ● Duplicate :既に報告されている重複な脆弱性報告 (報酬金なし)
 ● Informative :参考情報程度の報告 (許容内なリスク)


Slide 28

Slide 28 text

28
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ (Bug Bounty) 
 プラットフォームにおけるランキング制度 (Leaderboard) 
 ● バグハンターの活動を評価して可視化された仕組み 
 ○ ランキングの要素
 ■ 発見した脆弱性の数や危険度, 報告の質, 活動の頻度
 ○ ランキングの種類
 ■ 総合ランキング(全期間), 期間別ランキング(月間, 四半期, 年間)
 ○ ランキングのメリット
 ■ モチベーションの向上, スキルアップ, 認知度の向上, 評価軸
 


Slide 29

Slide 29 text

29
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティハンター 
 (Bug Bounty Hunter) 


Slide 30

Slide 30 text

30
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 Bug Bounty Hunter 
 脆弱性を探して報告する者 
 ● バグハンター (Bug Hunter) 
 ○ 脆弱性を探して報告する人のこと。
 ● バグバウンティハンター (Bug Bounty Hunter) 
 ○ バグバウンティプログラムを対象に脆弱性を探し、
 報告することで報酬金を獲得する人のこと。
 ■ バグバウンティを本業にしている人:Full-time Bug Bounty Hunter
       本講座では統一して「バグハンター」と称します。 


Slide 31

Slide 31 text

31
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 Bug Bounty Hunter 
 [調査結果] 
 バグバウンティで脆弱性を探す動機 
 1. 挑戦するため (チャレンジ, 腕試し)
 2. お金を稼ぐため 
 3. 知見やテクニックを習得するため 
 
 
             (HackerOneより)


Slide 32

Slide 32 text

32
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 ブログ「Bug Bounty Hunterの実態調査まとめ」 
 https://scgajge12.hatenablog.com/entry/bug_bounty_hunter_report

Slide 33

Slide 33 text

33
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ業界 (プラットフォーム版) 
 一般的なバグハンターのレベル感 (総額) 
 1. 初心者レベル 
 a. 0ドル〜500ドルの獲得 (目安:0円〜10万円)
 2. 初級者レベル 
 a. 500ドル〜1,000ドルの獲得 (目安:10万円〜15万円)
 3. 中級者レベル 
 a. 1,000ドル〜10,000ドルの獲得 (目安:15万円〜150万円)
 4. 上級者レベル 
 a. 10,000ドル〜100,000ドルの獲得 (目安:150万円〜1500万円)
 5. プロレベル 
 a. 100,000ドル以上の獲得 (目安:1500万円以上)


Slide 34

Slide 34 text

34
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ業界 (プラットフォーム版) 
 一般的なバグハンターのレベル感 (総額) 
 1. 初心者レベル 
 a. 0ドル〜500ドルの獲得 (目安:0円〜10万円)
 2. 初級者レベル 
 a. 500ドル〜1,000ドルの獲得 (目安:10万円〜15万円)
 3. 中級者レベル 
 a. 1,000ドル〜10,000ドルの獲得 (目安:15万円〜150万円)
 4. 上級者レベル 
 a. 10,000ドル〜100,000ドルの獲得 (目安:150万円〜1500万円)
 5. プロレベル 
 a. 100,000ドル以上の獲得 (目安:1500万円以上)
 ちなみに「達人レベル」は ... ● 100万ドル以上 (1億円以上) ○ 現在 HackerOne 29人 ■ (4億円以上獲得してる人もいる)

Slide 35

Slide 35 text

35
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ業界 (プラットフォーム版) 
 有名記事「初の100万ドル稼いだバグハンター(2019)」の要約 
 ● HackerOneで初めて総額100万ドルを稼いだ19歳の男性 (アルゼンチン人)
 ○ 取り組み期間:2016年〜2019年
 ○ 報告件数:1,670件
 ● 2015年の16歳から独学でサイバーセキュリティの勉強を始めた
 ● 2016年の17歳の時に見つけたCSRFで初めて50ドルの報酬金を獲得した
 ● 1件の最大報酬金額はSSRFで9,000ドル の報酬金を獲得した
 ● https://hackerone.com/try_to_hack
 
 
 https://www.hackerone.com/company-news/trytohack-makes-history-first-bug-bounty-hacker-earn-over-1-million

Slide 36

Slide 36 text

36
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ業界 (プラットフォーム版) 
 個人的な「初心者レベル」のレベル感 (始めの目標値) 
 1. レベル1
 a. VDPで5件ほど脆弱性を報告する (Accept, Duplicate)
 2. レベル2
 a. BBPで1件の報酬金を獲得する (Accept)
 3. レベル3
 a. BBPで3件ほど報酬金を獲得する (Accept) 
 4. 脱「初心者レベル」「初級者レベル」 


Slide 37

Slide 37 text

37
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ業界 (プラットフォーム版) 
 バグバウンティプログラムの選び方 (個人の意見) 
 1. パブリックプログラム × VDP
 2. プライベートプログラム × VDP
 3. プライベートプログラム × BBP
 4. パブリックプログラム × BBP
 初心者におすすめ 慣れた方におすすめ 特徴:  報酬金額が高いプログラムは中級者以上の方が多く取り組んでいる                           (競争率が高い傾向あり)

Slide 38

Slide 38 text

38
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ (Bug Bounty) 
 バグバウンティの醍醐味 (個人の感想) 
 ● 許可の上でリアルワールドのサービス に対して脆弱性を探して良い点
 ○ 規約の範囲内で実際の脅威 を示せるところまで深ぼって調査や検証をして良い点
 ○ 好きな時間 に探したいプログラムの対象 に対して取り組める点
 ○ 事業者や利用者へのセキュリティ貢献に繋がる点 (世の中のためになる点)
 ● 他の人がまだ見つけていない脆弱性を見つけられるかの実力勝負な点 
 ● 対価として報酬金やプラットフォーム内のポイント(評価)が貰える点
 ○ 対外的に成果が実績となる点
 ポイント

Slide 39

Slide 39 text

39
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握 
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A
 


Slide 40

Slide 40 text

40
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 プラットフォームの 
 規約・ルール 


Slide 41

Slide 41 text

41
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプラットフォームの規約 
 行動規範 (Code of Conduct, CoC) 
 ● プラットフォームにおいて、
 バグハンターが守るべき行動の基準やルールを定めたもの 。
 ○ 倫理、道徳、法律、社会規範、価値観などに基づいて作成されている。
 
       大前提として取り組む上でとても大切なこと! 


Slide 42

Slide 42 text

42
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプラットフォームの規約 
 行動規範 (Code of Conduct, CoC):一部記載 
 ● 非専門的な行為 (Unprofessional Behavior) 
 ○ プラットフォーム上でのやり取りは、
 常に敬意を持って、プロフェッショナルな態度と口調で行うようにしてください。
 ● サービスの低下/安全でないテスト (Service Degradation/Unsafe Testing) 
 ○ バグハンターは、事前に許可なく安全でないテストを実行してはいけません。
 ■ 例:顧客の内部情報に過剰にアクセスする, 実際のデータベースを抽出する, ...
 ○ 各プログラムのテストポリシーを要確認すること。
 https://www.hackerone.com/policies/code-of-conduct

Slide 43

Slide 43 text

43
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプラットフォームの規約 
 行動規範 (Code of Conduct, CoC):一部記載 
 ● 不正開示 - プライベートプログラム (Unauthorized Disclosure) 
 ○ 各プライベートプログラムの存在を公開してはいけません。
 ● 協調されていない脆弱性開示 - 公開プログラム 
               (Uncoordinated Vulnerability Disclosure) 
 ○ 許可なく脆弱性に関する情報を開示してはいけません。
 ● ソーシャルエンジニアリング (Social Engineering) 
 ○ 許可なく他人になりすまして、ソーシャルエンジニアリングをしてはいけません。
 https://www.hackerone.com/policies/code-of-conduct

Slide 44

Slide 44 text

44
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプラットフォームの規約 
 行動規範 (Code of Conduct, CoC):一部記載 
 ● 違法または偽装ソフトウェアの使用 (Using illegal or counterfeit software) 
 ○ バグハンターが使用するツールについて単独で責任を負ってください。
 ○ 違法または偽造ソフトウェアのツールが禁止されています。
 ● 恐喝/脅迫 (Extortion/Blackmail) 
 ○ 強制によって賞金・金銭、またはサービスを得ようとしてはいけません。
 ○ 個々の恐喝または脅迫は、深刻度に応じてエスカレートされ、
 刑事犯罪に相当する場合があります。
 https://www.hackerone.com/policies/code-of-conduct

Slide 45

Slide 45 text

45
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプラットフォームの規約 
 行動規範 (Code of Conduct, CoC):まとめ 
 ● 倫理的な脆弱性調査 
 ○ 脆弱性の発見を目的として、許可された範囲内でのみ調査や検証をすること。
 ○ 発見した脆弱性を悪用したり、データを盗んだり、許可なく公開してはいけない。
 ○ 各バグバウンティプログラムの規約やルールに従うこと。
 ● プロフェッショナルな行動 
 ○ 企業とのコミュニケーションを尊重し、丁寧かつ建設的な態度で接すること。
 ○ バグバウンティプログラムのルールや規約を遵守すること。
 ○ 報酬金目当てに走らず、セキュリティ向上に貢献することを意識すること。
 ポイント

Slide 46

Slide 46 text

46
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 プログラムの 
 規約・ルール 


Slide 47

Slide 47 text

47
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプログラムの規約 
 紹介するパブリックプログラム:例 
 プラットフォーム:IssueHunt
 ● Rakuten Group, Inc. (VDP)
 ○ https://issuehunt.io/programs/rakuten-vdp
 ● LINE WORKS (BBP)
 ○ https://issuehunt.io/programs/d7c3def6-9500-469d-b114-e5dd71d39621
 
 
 アクション ・実際に開いて  確認してみよう  (紹介のみ)

Slide 48

Slide 48 text

48
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプログラムの規約 
 プログラムの主な概要 
 ● プログラムの概要
 ● 対象範囲 (Scope)
 ● 対象外 (Out of Scope, OoS)
 ○ 対象外の範囲
 ○ 対象外の脆弱性
 ● 注意事項・禁止行為
 


Slide 49

Slide 49 text

49
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプログラムの規約 
 対象範囲 (Scope) 
 ● 許可された 調査対象を明確に示したもの 
 ● スコープ定義の例 (Webの場合)
 ○ ドメイン:「example.com」 
 ■ 例:https://example.com/login , https://example.com/search 
 ○ サブドメイン入り:「*.example.com」 
 ■ 例:https://www2. example.com/login, https://open. example.com/search
 ○ 特定のパス以下のみ:「example.com/api/*」 
 ■ 例:https://www.example.com/api/search , https://www.example.com/api/token 
 


Slide 50

Slide 50 text

50
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプログラムの規約 
 対象範囲 (Scope):例1 
 
 
 


Slide 51

Slide 51 text

51
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプログラムの規約 
 対象範囲 (Scope):例2 
 
 
 


Slide 52

Slide 52 text

52
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプログラムの規約 
 対象外 (Out of Scope,OoS) 
 ● 禁止された 調査対象や脆弱性を明確に示したもの 
 ● 対象外の例
 ○ 実際の検証コードのない、仮説的または理論的な脆弱性
 ○ 当社サービスの中断につながる可能性のあるサーバーサイドDoS攻撃
 ○ 任意のユーザーにスパムメッセージを送信する機能
 ○ 重要でない機能におけるCSRFトークンの不在
 ○ 古いブラウザやプラットフォームに起因する脆弱性
 ○ ユーザー名/電子メールの列挙のみ


Slide 53

Slide 53 text

53
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプログラムの規約 
 対象外 (Out of Scope,OoS):例 


Slide 54

Slide 54 text

54
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプログラムの規約 
 注意事項:例 


Slide 55

Slide 55 text

55
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプログラムの規約 
 禁止行為:例 


Slide 56

Slide 56 text

56
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプログラムの規約 
 その他:例 
 ● ツールに関して「リクエスト間隔の制限」を設ける
 ● HTTPリクエストに指定された「任意のヘッダー」を付与する
 ● 資格要件
 ○ 当社または関連会社の現従業員ではないこと。
 ○ 16歳以上であること。


Slide 57

Slide 57 text

57
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティプログラムの規約 
 特に大事な注意点 
 ● 許可された調査範囲(Scope,OoS)を必ず守ること 
 ○ 反すると「不正アクセス行為の禁止等に関する法律」に該当する可能性がある
 ■ > 当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。
 ● 禁止行為や注意事項を必ず守ること 
 ○ プライバシー侵害, データの破壊, 認証情報の総当たり攻撃, など
 ○ 自ら保持していないアカウントとやりとりする行為 (実際の顧客情報の取得行為)
 ■ 正しい例) 認可の検証をする際は、アカウントを2つ用意して、保持するアカウント同士で
 検証する。
  → バグバウンティの対象は基本的に「リアルワールドで稼働中のサービス」である 点
 ポイント

Slide 58

Slide 58 text

58
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編 
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A
 


Slide 59

Slide 59 text

59
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける 
 主な調査の流れ 


Slide 60

Slide 60 text

60
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける主な調査の流れ 
 全体的な調査の流れ (ドメインの場合) 
 1. バグバウンティプログラムを選ぶ
 2. Scopeから調査対象を選ぶ
 3. ドメイン (Web)を調査する
 a. 初期調査 (Recon)
 b. 脆弱性調査 (Research)
 4. 脆弱性レポートを作成&提出する
 


Slide 61

Slide 61 text

61
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける主な調査の流れ 
 全体的な調査の流れ (ドメインの場合) 
 1. バグバウンティプログラムを選ぶ
 2. Scopeから調査対象を選ぶ
 3. ドメイン (Web)を調査する
 a. 初期調査 (Recon) 
 b. 脆弱性調査 (Research) 
 4. 脆弱性レポートを作成&提出する
 
 ハンズオン (体験型学習 )  で一緒にやってみよう!

Slide 62

Slide 62 text

62
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける 
 調査前のタスク 


Slide 63

Slide 63 text

63
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける調査前のタスク 
 [非公開] 
 ● 座学


Slide 64

Slide 64 text

64
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける 
 初期調査


Slide 65

Slide 65 text

65
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける初期調査 
 [非公開] 
 ● 座学 + ハンズオン(実習)


Slide 66

Slide 66 text

66
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習 
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A
 


Slide 67

Slide 67 text

67
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける初期調査 
 おまけ(時間があれば) 
 ● 講師が実際にReconした際のリアルな結果を少し紹介する
 ○ ログファイル等
 


Slide 68

Slide 68 text

68
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編 
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A
 


Slide 69

Slide 69 text

69
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける 
 脆弱性の事例 


Slide 70

Slide 70 text

70
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性の事例 
 バグバウンティで扱われる脆弱性の特徴 
 ● 対象内な脆弱性 (求められる脆弱性) 
 ○ 現実的に脅威・危険度が想定できる脆弱性
 ■ 例:アカウントの乗っ取り, 機密情報の取得, 不正な操作, ...
 ● 対象外な脆弱性 
 ○ 現実的に脅威・危険度があまり想定できない脆弱性
 ■ 例:重要でないCSRF, ユーザーやメールの列挙, Self XSS, 
   重要でないCookieにセキュアフラグ属性がない, ...
 


Slide 71

Slide 71 text

71
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性の事例 
 HackerOne Top 10 Vulnerabilities (2023) 
 1. Cross Site Scripting (XSS)
 2. Improper Access Control (アクセス制御の不備)
 3. Information Disclosure (情報開示)
 4. Insecure Direct Object Reference (IDOR)
 5. Privilege Escalation (権限昇格)
 6. Misconfiguration (構成ミス)
 7. Improper Authentication (認証の不備)
 8. Business Logic Errors (ロジックの不備)
 9. Open Redirect
 10. Improper Authorization (認可の不備)
 https://www.hackerone.com/reports/7th-annual-hacker-powered-security-report

Slide 72

Slide 72 text

72
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性の事例 
 主な脆弱性のタイプ 
 ● Active Vulnerability (能動的な脆弱性) 
 ○ 攻撃者が直接操作することで脅威が生まれる脆弱性
 ■ 例:SQLi, IDOR, アクセス制御の不備, 情報開示, ...
 ● Passive Vulnerability (受動的な脆弱性) 
 ○ 攻撃者が仕掛けた罠に対して被害者が操作することで
 脅威が生まれる脆弱性
 ■ 例:XSS, CSRF, OpenR, ...


Slide 73

Slide 73 text

73
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性の事例 
 HackerOne Hacktivity (実際の脆弱性レポート) 
 https://hackerone.com/hacktivity/

Slide 74

Slide 74 text

74
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性の事例 
 HackerOne Reports (Topまとめ) 
 https://github.com/reddelexc/hackerone-reports ● Tops 100 ● Tops by Bug Type ● Tops by Program

Slide 75

Slide 75 text

75
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性の事例 
 バグバウンティで扱われる脆弱性の特徴:まとめ 
 ● 事例からリアルワールドでよくある脆弱性 の種類を把握する
 ○ HackerOne Top 10 Vulnerabilities
 ○ OWASP Top 10, OWASP API Security Top 10
 ● 過去の脆弱性レポートから実際の脆弱性 を把握する
 ○ HackerOne Hacktivity, hackerone-reports, 
 ○ ブログ, X(Twitter)
 ポイント

Slide 76

Slide 76 text

76
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける 
 脆弱性調査 


Slide 77

Slide 77 text

77
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性調査 
 [非公開] 
 ● 座学 + ハンズオン(実習)


Slide 78

Slide 78 text

78
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける 
 脆弱性のエスカレーション 


Slide 79

Slide 79 text

79
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 脆弱性のエスカレーション 
 [非公開] 
 ● 座学 (資料のみでスキップ)


Slide 80

Slide 80 text

80
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法 
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A
 


Slide 81

Slide 81 text

81
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける 
 脆弱性レポートの作成方法 


Slide 82

Slide 82 text

82
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性レポート 
 主な脆弱性レポートの項目 
 1. レポートのタイトル 
 a. 端的に脆弱性の指摘がイメージできる内容を記載する
 2. スコープの選定 
 a. 対象のスコープを選ぶ
 3. 危険度(深刻度)の設定 
 a. CVSSのスコアで設定する
 4. 脆弱性の説明等 
 a. 概要, 再現方法, 脅威, 参考資料, などを記載する


Slide 83

Slide 83 text

83
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性レポート 
 紹介するの脆弱性レポートのテンプレート 
 プラットフォーム:IssueHunt
 ● テンプレート 
 ○ https://issuehunt.io/programs/f2eab25e-6a83-4a6c-bc26-409316a40a55/su bmit
 
 
 アクション ・実際に開いて  確認してみよう  (紹介のみ)

Slide 84

Slide 84 text

84
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性レポート 
 公式の「高品質な脆弱性レポートの特徴」とは 
 ● 概要・再現手順 
 ○ 脆弱性の概要を「明確」&「簡潔」に再現可能な手順を含む状態で説明する。
 ○ 脆弱性の検証や再現手順の補足とし、スクリーンショット や動画を添付する。
 ● 脅威・影響 
 ○ 脆弱性によって、どういう脅威(リスク)に繋がるかの危険性の具体例 を説明する。
 ○ 脆弱性の脅威に繋がる「想定しうる攻撃シナリオ 」を記載する。
 
 ポイント

Slide 85

Slide 85 text

85
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性レポート 
 公式の「高品質な脆弱性レポートの特徴」とは 
 ● HackerOne 
 ○ Quality Reports
 ■ https://docs.hackerone.com/en/articles/8475116-quality-reports
 ● Bugcrowd 
 ○ Writing a Good Bug Report
 ■ https://docs.bugcrowd.com/researchers/reporting-managing-submissions/reporting-a-bug/#writing-a -good-bug-report
 ● Intigriti 
 ○ How to write and submit a good report
 ■ https://kb.intigriti.com/en/articles/5379086-how-to-write-and-submit-a-good-report


Slide 86

Slide 86 text

86
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性レポート 
 想定しうる攻撃シナリオ:例1 
 ● NG: 推測や取得が困難な他のIDによるIDOR (認可不備)
 ○ 現実的ではないという判断で危険度(リスクレベル)が下がる傾向あり
 ● OK: 推測や取得が可能な他のIDによるIDOR (認可不備)
 ○ 現実的な脆弱性攻撃という判断になる
 
 
 


Slide 87

Slide 87 text

87
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性レポート 
 想定しうる攻撃シナリオ:例2 
 ● NG: Self XSS
 ○ 被害者自身が任意のJSコードを実行させる必要がある → OoS
 ● OK: Self XSS + CSRF → RXSS (Reflected XSS)
 ○ 攻撃者が用意した悪意のあるページに被害者をアクセスさせ、
 意図しない操作(Self XSS)を被害者のブラウザ上で実行させることで、
 被害者になりすまして任意のJSコードを実行させられる。
 ■ 例:パスワードの変更, アカウントの乗っ取り, ...
 最低限:「alert(location)」などでアラート実行を示すようにする
 


Slide 88

Slide 88 text

88
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性レポート 
 想定しうる攻撃シナリオ:例3 
 ● NG: SSRF with Ping only to localhost
 ○ localhostに対してPingのみのSSRFは脅威としては認められない → OoS
 ● OK: SSRF leaks Confidential Information
 ○ localhostの別ポートや内部で動くサーバーに対してSSRFができる
 ■ 例:別ポートの管理者画面, AWSメタデータサービス
 
 


Slide 89

Slide 89 text

89
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性レポート 
 想定しうる攻撃シナリオ 
 ● 脆弱性の証明において、「攻撃者」と「被害者」の立場を定める。
 ○ その上で、脆弱性の具体的な脅威を示すようにする。
 ● 現実的に、発生する可能性のある脆弱性攻撃かを示す。
 ○ 脆弱性を証明する際に攻撃条件(シナリオ) も示すようにする。
 ■ 攻撃条件が厳しすぎると危険度が下がる。
 ポイント

Slide 90

Slide 90 text

90
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性レポート 
 脆弱性レポートのトリアージ対応 (選別) 
 ● 報告内容が有効なものか (脆弱性として認められるか)
 ○ 脆弱性として脅威(Impact)や危険度があるか
 ○ 再現方法によって脆弱性が再現されるか
 ○ 脆弱性がScope内でOoSに当てはまっていないか
 ● 重複した報告内容か
 ○ 既に報告されている脆弱性か


Slide 91

Slide 91 text

91
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性レポート 
 脆弱性の危険度(深刻度) 
 ● 一般的には「CVSS」で評価される (Low, Medium, High, Critical)
 CVSS (Common Vulnerability Scoring System,             共通脆弱性評価システム )

Slide 92

Slide 92 text

92
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性レポート 
 CVSSスコアの範囲 
 危険度レベル スコア範囲 None 0.0 Low 0.1 〜 3.9 Medium 4.0 〜 6.9 High 7.0 〜 8.9 Critical 9.0 〜 10.0

Slide 93

Slide 93 text

93
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性レポート 
 脆弱性の危険度(深刻度):例 
 ● Reflected XSS :一般的な反射型XSS
 ○ CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N → 5.4 Medium 
 ● Stored XSS:一般的な蓄積型XSS
 ○ CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N → 6.5 Medium 
 ● Reflected XSS to ATO:XSSによる一般アカウントの乗っ取り
 ○ CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N → 7.1 High 
 ● Stored XSS to ATO:XSSによる管理者アカウントの乗っ取り
 ○ CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N → 9.1 Critical 
 脆弱性の状態によって 評価にとても変動あり

Slide 94

Slide 94 text

94
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける脆弱性レポート 
 脆弱性レポートの作成方法:まとめ 
 ● 「高品質な脆弱性レポートの特徴 」を踏まえて作成する
 ○ 明確&簡潔, スクリーンショット や動画, 危険性の具体例 , 想定しうる攻撃シナリオ 
 ● 実際の脆弱性レポート(Hacktivity)を参考にする
 ○ (質が良いもの悪いものと色々あります)
 ● 脆弱性を証明する上で攻撃条件や脅威を正しく示すようにする
 ポイント

Slide 95

Slide 95 text

95
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ 
 11:50 ~ 12:00 (10分) Q&A 
 


Slide 96

Slide 96 text

96
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 まとめ


Slide 97

Slide 97 text

97
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 本講座の概要 (定義) 
 『実践的なバグバウンティ入門』 
 本講座では、バグバウンティにおける初期調査や脆弱性調査などの方法 を
 ハンズオン形式で実施します。 
 特にバグハンターとしての視点 で、実際のバグバウンティの対象に対して 
 どういう情報収集をしたり、どういう観点で脆弱性調査をするかなどの 
 ポイントを押さえながら 、一緒に体験していただきます。 
 また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に
 限定して、Webセキュリティの要素のみを取り扱います。
 https://issuehunt.jp/events/2024/summer/p3nfest

Slide 98

Slide 98 text

98
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 本講座のポイント (ゴール) 
 1. バグバウンティの概要 2. ドメイン(Web)に対する初期調査の方法 3. ドメイン(Web)に対する脆弱性調査の方法 バグバウンティの特長を知る ● CTFやHTBとのアプローチの違い

Slide 99

Slide 99 text

99
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ入門 
 バグバウンティに取り組む上で大事なこと 
 ● バグバウンティは基本的に「長期戦」である
 ○ 「継続的な取り組み 」が大切
 ● 脆弱性に対して好奇心や探究心を持って調査すること
 ○ 根気よく探し続ける, 検証し続ける, 調査を楽しむ
 ● 常にインプット とアウトプット(実践) を繰り返すこと
 ○ インプット:知見, テクニック, 事例
 ○ アウトプット:調査, 検証
 ポイント

Slide 100

Slide 100 text

100
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ入門 
 バグバウンティの醍醐味 (個人の感想) 
 ● 許可の上でリアルワールドのサービス に対して脆弱性を探して良い点
 ○ 規約の範囲内で実際の脅威 を示せるところまで深ぼって調査や検証をして良い点
 ○ 好きな時間 に探したいプログラムの対象 に対して取り組める点
 ○ 事業者や利用者へのセキュリティ貢献に繋がる点 (世の中のためになる点)
 ● 他の人がまだ見つけていない脆弱性を見つけられるかの実力勝負な点 
 ● 対価として報酬金やプラットフォーム内のポイント(評価)が貰える点
 ○ 対外的に成果が実績となる点


Slide 101

Slide 101 text

101
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ入門 
 バグバウンティに取り組むことで得られること 
 ● 経験
 ○ 実際の脆弱性を探す経験
 ● 実績
 ○ 実際に脆弱性を見つけた実績
 ● お金
 ○ 対価としての報酬金 


Slide 102

Slide 102 text

102
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ入門 
 バグバウンティに取り組むことで得られること 
 ● 経験
 ○ 実際の脆弱性を探す経験    → 脆弱性診断, PT, 保守 
 ● 実績
 ○ 実際に脆弱性を見つけた実績  → 就活, キャリアアップ 
 ● お金
 ○ 対価としての報酬金      → モチベーション, 収入


Slide 103

Slide 103 text

103
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ入門 
 おすすめのロードマップ (個人の意見) 
 1. 脆弱性の概要や仕組みを学ぶ
 a. Web Security Academy, PentesterLab, TryHackMe
 2. 実際の脆弱性の事例や観点を知る
 a. Hacktivity, CVE, 
 3. 各調査(Recon, Research)のアプローチ方法 を知る
 a. ブログ, YouTube, X(Twitter), コミュニティ, 自己研究 
 4. バグバウンティ(VDP, BBP)にチャレンジ! 
 a. IssueHunt, 3大プラットフォーム
 ポイント

Slide 104

Slide 104 text

104
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ入門 
 おすすめの学習コンテンツ (Webセキュリティ) 
 ● Web Security Academy (無料)
 ○ https://portswigger.net/web-security
 ● PentesterLab (有料)
 ○ https://pentesterlab.com/
 ● TryHackMe (無料)
 ○ https://tryhackme.com/
 ■ Learning Paths:Web Fundamentals
 ■ Rooms:NahamStore
 


Slide 105

Slide 105 text

105
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 IssueHunt「学生限定バグバウンティイベント」 
 https://issuehunt.jp/events/2024/summer/p3nfestbugbounty イベント期間 ・9/2〜9/30

Slide 106

Slide 106 text

106
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 ブログ「バグバウンティ入門(始め方)」 
 
 
 https://scgajge12.hatenablog.com/entry/bugbounty_beginner

Slide 107

Slide 107 text

107
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 ブログ:バグバウンティ系の記事 
 blog of morioka12 
 1. 2023-09-25:バグバウンティ入門 (始め方)
 2. 2023-10-25:バグバウンティにおけるBug Bounty Hunter の実態調査まとめ
 3. 2023-12-04:バグバウンティで使えるおすすめの Burp Extensions 10選
 4. 2023-12-05:バグバウンティで使えるおすすめのツール10選
 5. 2023-12-06:バグバウンティにおける JavaScript の静的解析と動的解析まとめ
 6. 2023-12-07:バグバウンティで使えるおすすめのブラウザ拡張機能 10選
 7. 2023-12-12:バグバウンティにおける Critical な脆弱性報告の事例まとめ
 8. 2023-12-13:バグバウンティにおけるモバイルアプリ の脆弱性報告の事例まとめ
 9. 2023-12-27:バグバウンティにおける人気脆弱性報告 Top 10 (2023年版)
 10. 2024-01-17:バグバウンティにおける XSS の具体的な脅威の事例まとめ
 11. 2024-07-29:バグバウンティにおけるおすすめの学習コンテンツまとめ(YouTube 編)


Slide 108

Slide 108 text

108
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 質疑応答 (Q&A) 
 11:50 ~ 12:00 (10分) 残り時間でなんでもお答えします! (夕方の懇親会でも可 )

Slide 109

Slide 109 text

109
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 連絡先 (相談・依頼) 
 森岡(morioka12)への連絡先 
 ● X (Twitter) 
 ○ @scgajge12
 ● Discord 
 ○ scgajge12
 ● メールアドレス 
 ○ [email protected]
 https://scgajge12.github.io/

Slide 110

Slide 110 text

110
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 ご清聴ありがとうございました! 
 Let’s enjoy Bug Bounty Hunting ! @scgajge12