Slide 1
Slide 1 text
1
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
2024年8月31日(土)10:00 〜 12:00
実践的なバグバウンティ入門
P3NFEST 2024 Summer 森岡 優太 (@scgajge12)
ハンズオン講座
Slide 2
Slide 2 text
2
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
本講座の注意点
注意・免責事項
● 本資料は、発表者の個人的な見解に基づいて作成されており、
所属組織の見解を代表するものではありません。
● 本資料は、セキュリティに関する知見を広く共有する目的で
作成されており、悪用行為を推奨するものではありません。
● 本資料は、非公開とします。( 外部公開禁止 ) [公開用(非公開部分あり)]
○ SNSで感想等をつぶやくことは可とします。
■ ハッシュタグ: #P3NFEST
・完全版: 192ページ
・公開版: 110ページ
Slide 3
Slide 3 text
3
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
前置き
Slide 4
Slide 4 text
4
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
自己紹介「森岡 優太(もりおか ゆうた)」
■略歴
神奈川県 出身・在住
2024年4月〜 GMOサイバーセキュリティ byイエラエ株式会社
新卒 セキュリティエンジニア
■サブ情報
学生時代から数社でWebやクラウドなどの脆弱性診断等の業務を経験し、
現在は所属企業でWebペネトレーションテスト やソースコード診断等の業務に従事する。
外部活動では、サイバーセキュリティに関する登壇や講師、執筆などに取り組み、
プライベートでもバグバウンティで脆弱性探しに取り組んでいる。
AWS Community Builder (Security & Identity Builder since 2024)
現役のバグハンター!
@scgajge12
https://scgajge12.github.io/
直近のイベント
・6月:セキュリティミニキャンプ 講師
・7月:ISC2 Japan Chapter 登壇
・7月:Hack Fes. 2024 講師
Slide 5
Slide 5 text
5
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
Webペネトレーションテスト (WebPT)
https://gmo-cybersecurity.com/service/assessment/pentest/
Slide 6
Slide 6 text
6
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
2024年2月「P3NFEST Conf 2024」登壇
https://x.com/securesky_tech/status/1759417079755919628
Slide 7
Slide 7 text
7
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
インタビュー取材「レバテックLAB」
バグバウンティに取り組む理由とその醍醐味
https://levtech.jp/media/article/interview/detail_466/
Slide 8
Slide 8 text
8
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
直近のバグバウンティ実績 (2024年,学生時代)
欧州 No1 バグバウンティプラットフォーム「Intigriti」
● 2024年 Q1 (1~3月)
○ ランキング:17位 受賞 (20位以内)
○ 脆弱性認定(Accept):31件
● 2024年 2月
○ ランキング:6位
○ 脆弱性認定(Accept):25件
https://scgajge12.hatenablog.com/entry/intigriti_q1_2024
Slide 9
Slide 9 text
9
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
ポッドキャスト「Bug Bounty JP Podcast」
https://bugbountyjppodcast.notion.site/Bug-Bounty-JP-Podcast-8bf1080383a54c4a8848f10bfeb874b3
Discord コミュニティサーバーを開設しました!
Slide 10
Slide 10 text
10
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
本題
Slide 11
Slide 11 text
11
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
本イベントの概要
P3NFEST(ペンフェスト)
● 学生のためのサイバーセキュリティカンファレンス (主催:IssueHunt)
○ 第1回:2024年2月17日 P3NFEST Conf 2024
○ 第2回:2024年8月31日 P3NFEST 2024 Summer(今回)
● 豪華登壇者による講演や脆弱性診断入門等のハンズオン講座を提供。
現地参加学生に交通費を支給!
● 日本国内の学生に対してカンファレンスやバグバウンティを通じて
「様々なセキュリティキャリア」をより身近なものとするべく、開催。
https://issuehunt.jp/events/2024/summer/p3nfest
Slide 12
Slide 12 text
12
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
Q. 質問
1. バグバウンティを元々知っていた人?
2. バグバウンティに取り組んだことある人?
Slide 13
Slide 13 text
13
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
本講座の概要 (定義)
『実践的なバグバウンティ入門』
本講座では、バグバウンティにおける初期調査や脆弱性調査などの方法 を
ハンズオン形式で実施します。
特にバグハンターとしての視点 で、実際のバグバウンティの対象に対して
どういう情報収集をしたり、どういう観点で脆弱性調査をするかなどの
ポイントを押さえながら 、一緒に体験していただきます。
また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に
限定して、Webセキュリティの要素のみを取り扱います。
https://issuehunt.jp/events/2024/summer/p3nfest
Slide 14
Slide 14 text
14
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
本講座のポイント (ゴール)
1. バグバウンティの概要
2. ドメイン(Web)に対する初期調査の方法
3. ドメイン(Web)に対する脆弱性調査の方法
Slide 15
Slide 15 text
15
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
本講座のポイント (ゴール)
1. バグバウンティの概要
2. ドメイン(Web)に対する初期調査の方法
3. ドメイン(Web)に対する脆弱性調査の方法
バグバウンティの特長を知る
● CTFやHTBとのアプローチの違い
Slide 16
Slide 16 text
16
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
本講座の視点
全体的に話すこと
● ⚪ 取り上げる
○ バグバウンティで脆弱性を探す側の視点 (バグハンター)
○ 対象:ドメイン(WebサイトやWebアプリケーション)
○ レベル感:入門者向けの話
● × 取り上げない
○ バグバウンティを導入する企業側の視点 (事業者)
○ 対象:スマホアプリ, デスクトップアプリ, ソフトウェア, ソースコード
○ レベル感:中堅者以上の話
Slide 17
Slide 17 text
17
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
タイムテーブル (120分)
10:00 ~ 10:10 (10分) 前置き + 本題説明
10:10 ~ 10:20 (10分) バグバウンティの概要
10:20 ~ 10:30 (10分) 規約・ルールの把握
10:30 ~ 10:50 (20分) 初期調査編
10:50 ~ 11:00 (10分) 休憩 + 自習
11:00 ~ 11:40 (40分) 脆弱性調査編
11:40 ~ 11:45 (5分) レポートの作成方法
11:45 ~ 11:50 (5分) まとめ
11:50 ~ 12:00 (10分) Q&A
Slide 18
Slide 18 text
18
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
タイムテーブル (120分)
10:00 ~ 10:10 (10分) 前置き + 本題説明
10:10 ~ 10:20 (10分) バグバウンティの概要
10:20 ~ 10:30 (10分) 規約・ルールの把握
10:30 ~ 10:50 (20分) 初期調査編
10:50 ~ 11:00 (10分) 休憩 + 自習
11:00 ~ 11:40 (40分) 脆弱性調査編
11:40 ~ 11:45 (5分) レポートの作成方法
11:45 ~ 11:50 (5分) まとめ
11:50 ~ 12:00 (10分) Q&A
Slide 19
Slide 19 text
19
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ (Bug Bounty)
Slide 20
Slide 20 text
20
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ (Bug Bounty)
バグバウンティ / 脆弱性報奨金制度
● 許可されたリアルワールドのサービスに対して脆弱性を調査し、
発見して報告された脆弱性に対して報奨金が支払われる制度のこと。
Slide 21
Slide 21 text
21
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ (Bug Bounty)
バグバウンティプラットフォーム
● バグバウンティを導入したい企業と脆弱性を探すバグハンターを
仲介して、運営するプラットフォームのこと。
バグハンター 導入企業
仲介役
(トリアージ )
Slide 22
Slide 22 text
22
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ (Bug Bounty)
3大バグバウンティプラットフォーム
Slide 23
Slide 23 text
23
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ (Bug Bounty)
日本国内最大バグバウンティプラットフォーム「IssueHunt」
https://issuehunt.jp/bugbounty
Slide 24
Slide 24 text
24
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ (Bug Bounty)
バグバウンティを導入している日系企業:例
HackerOne
● ピクシブ
● LINEヤフー
● トヨタ自動車
● ソニーグループ
● 〜 海外 〜
○ Uber, スターバックス
○ Netflix, Spotify, Yahoo
○ X , PayPal, Slack
○ アメリカ合衆国国防総省
IssueHunt
● LINE WORKS
● コインチェック
● 楽天グループ
● エニグモ
● 日本経済新聞社
● Finatextホールディングス
● ヌーラボ
● kubell (旧Chatwork)
● ビットバンク
Slide 25
Slide 25 text
25
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ (Bug Bounty)
バグバウンティプログラムの種類
● BBP (Bug Bounty Program)
○ 脆弱性レポートに対して危険度に合わせて報酬金が支払われる
● VDP (Vulnerability Disclosure Program)
○ 脆弱性報告窓口の役割なプログラム
○ 脆弱性レポートに対して報酬金が支払われない
■ プログラムによっては企業の限定グッズ(Swag)を提供したりする
■ BBPに比べてバグハンターの競争率が低い傾向あり
Slide 26
Slide 26 text
26
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ (Bug Bounty)
プログラムのタイプ
● パブリックプログラム
○ 誰でも取り組むことが可能なプログラム
● プライベートプログラム
○ 一部の招待された者のみ 取り組むことが可能なプログラム
■ ライバルとなるバグハンター がパブリックプログラムより少ない
Slide 27
Slide 27 text
27
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ (Bug Bounty)
バグバウンティの特徴
「報酬金」 が各脆弱性の第一報告者にのみ 支払われる点
脆弱性レポートの判定 (トリアージ)
● Accept :第一報告で脆弱性認定 (報酬金あり)
● Duplicate :既に報告されている重複な脆弱性報告 (報酬金なし)
● Informative :参考情報程度の報告 (許容内なリスク)
Slide 28
Slide 28 text
28
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ (Bug Bounty)
プラットフォームにおけるランキング制度 (Leaderboard)
● バグハンターの活動を評価して可視化された仕組み
○ ランキングの要素
■ 発見した脆弱性の数や危険度, 報告の質, 活動の頻度
○ ランキングの種類
■ 総合ランキング(全期間), 期間別ランキング(月間, 四半期, 年間)
○ ランキングのメリット
■ モチベーションの向上, スキルアップ, 認知度の向上, 評価軸
Slide 29
Slide 29 text
29
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティハンター
(Bug Bounty Hunter)
Slide 30
Slide 30 text
30
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
Bug Bounty Hunter
脆弱性を探して報告する者
● バグハンター (Bug Hunter)
○ 脆弱性を探して報告する人のこと。
● バグバウンティハンター (Bug Bounty Hunter)
○ バグバウンティプログラムを対象に脆弱性を探し、
報告することで報酬金を獲得する人のこと。
■ バグバウンティを本業にしている人:Full-time Bug Bounty Hunter
本講座では統一して「バグハンター」と称します。
Slide 31
Slide 31 text
31
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
Bug Bounty Hunter
[調査結果]
バグバウンティで脆弱性を探す動機
1. 挑戦するため (チャレンジ, 腕試し)
2. お金を稼ぐため
3. 知見やテクニックを習得するため
(HackerOneより)
Slide 32
Slide 32 text
32
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
ブログ「Bug Bounty Hunterの実態調査まとめ」
https://scgajge12.hatenablog.com/entry/bug_bounty_hunter_report
Slide 33
Slide 33 text
33
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ業界 (プラットフォーム版)
一般的なバグハンターのレベル感 (総額)
1. 初心者レベル
a. 0ドル〜500ドルの獲得 (目安:0円〜10万円)
2. 初級者レベル
a. 500ドル〜1,000ドルの獲得 (目安:10万円〜15万円)
3. 中級者レベル
a. 1,000ドル〜10,000ドルの獲得 (目安:15万円〜150万円)
4. 上級者レベル
a. 10,000ドル〜100,000ドルの獲得 (目安:150万円〜1500万円)
5. プロレベル
a. 100,000ドル以上の獲得 (目安:1500万円以上)
Slide 34
Slide 34 text
34
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ業界 (プラットフォーム版)
一般的なバグハンターのレベル感 (総額)
1. 初心者レベル
a. 0ドル〜500ドルの獲得 (目安:0円〜10万円)
2. 初級者レベル
a. 500ドル〜1,000ドルの獲得 (目安:10万円〜15万円)
3. 中級者レベル
a. 1,000ドル〜10,000ドルの獲得 (目安:15万円〜150万円)
4. 上級者レベル
a. 10,000ドル〜100,000ドルの獲得 (目安:150万円〜1500万円)
5. プロレベル
a. 100,000ドル以上の獲得 (目安:1500万円以上)
ちなみに「達人レベル」は ...
● 100万ドル以上 (1億円以上)
○ 現在 HackerOne 29人
■ (4億円以上獲得してる人もいる)
Slide 35
Slide 35 text
35
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ業界 (プラットフォーム版)
有名記事「初の100万ドル稼いだバグハンター(2019)」の要約
● HackerOneで初めて総額100万ドルを稼いだ19歳の男性 (アルゼンチン人)
○ 取り組み期間:2016年〜2019年
○ 報告件数:1,670件
● 2015年の16歳から独学でサイバーセキュリティの勉強を始めた
● 2016年の17歳の時に見つけたCSRFで初めて50ドルの報酬金を獲得した
● 1件の最大報酬金額はSSRFで9,000ドル の報酬金を獲得した
● https://hackerone.com/try_to_hack
https://www.hackerone.com/company-news/trytohack-makes-history-first-bug-bounty-hacker-earn-over-1-million
Slide 36
Slide 36 text
36
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ業界 (プラットフォーム版)
個人的な「初心者レベル」のレベル感 (始めの目標値)
1. レベル1
a. VDPで5件ほど脆弱性を報告する (Accept, Duplicate)
2. レベル2
a. BBPで1件の報酬金を獲得する (Accept)
3. レベル3
a. BBPで3件ほど報酬金を獲得する (Accept)
4. 脱「初心者レベル」「初級者レベル」
Slide 37
Slide 37 text
37
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ業界 (プラットフォーム版)
バグバウンティプログラムの選び方 (個人の意見)
1. パブリックプログラム × VDP
2. プライベートプログラム × VDP
3. プライベートプログラム × BBP
4. パブリックプログラム × BBP
初心者におすすめ
慣れた方におすすめ
特徴:
報酬金額が高いプログラムは中級者以上の方が多く取り組んでいる
(競争率が高い傾向あり)
Slide 38
Slide 38 text
38
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ (Bug Bounty)
バグバウンティの醍醐味 (個人の感想)
● 許可の上でリアルワールドのサービス に対して脆弱性を探して良い点
○ 規約の範囲内で実際の脅威 を示せるところまで深ぼって調査や検証をして良い点
○ 好きな時間 に探したいプログラムの対象 に対して取り組める点
○ 事業者や利用者へのセキュリティ貢献に繋がる点 (世の中のためになる点)
● 他の人がまだ見つけていない脆弱性を見つけられるかの実力勝負な点
● 対価として報酬金やプラットフォーム内のポイント(評価)が貰える点
○ 対外的に成果が実績となる点
ポイント
Slide 39
Slide 39 text
39
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
タイムテーブル (120分)
10:00 ~ 10:10 (10分) 前置き + 本題説明
10:10 ~ 10:20 (10分) バグバウンティの概要
10:20 ~ 10:30 (10分) 規約・ルールの把握
10:30 ~ 10:50 (20分) 初期調査編
10:50 ~ 11:00 (10分) 休憩 + 自習
11:00 ~ 11:40 (40分) 脆弱性調査編
11:40 ~ 11:45 (5分) レポートの作成方法
11:45 ~ 11:50 (5分) まとめ
11:50 ~ 12:00 (10分) Q&A
Slide 40
Slide 40 text
40
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
プラットフォームの
規約・ルール
Slide 41
Slide 41 text
41
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプラットフォームの規約
行動規範 (Code of Conduct, CoC)
● プラットフォームにおいて、
バグハンターが守るべき行動の基準やルールを定めたもの 。
○ 倫理、道徳、法律、社会規範、価値観などに基づいて作成されている。
大前提として取り組む上でとても大切なこと!
Slide 42
Slide 42 text
42
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプラットフォームの規約
行動規範 (Code of Conduct, CoC):一部記載
● 非専門的な行為 (Unprofessional Behavior)
○ プラットフォーム上でのやり取りは、
常に敬意を持って、プロフェッショナルな態度と口調で行うようにしてください。
● サービスの低下/安全でないテスト (Service Degradation/Unsafe Testing)
○ バグハンターは、事前に許可なく安全でないテストを実行してはいけません。
■ 例:顧客の内部情報に過剰にアクセスする, 実際のデータベースを抽出する, ...
○ 各プログラムのテストポリシーを要確認すること。
https://www.hackerone.com/policies/code-of-conduct
Slide 43
Slide 43 text
43
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプラットフォームの規約
行動規範 (Code of Conduct, CoC):一部記載
● 不正開示 - プライベートプログラム (Unauthorized Disclosure)
○ 各プライベートプログラムの存在を公開してはいけません。
● 協調されていない脆弱性開示 - 公開プログラム
(Uncoordinated Vulnerability Disclosure)
○ 許可なく脆弱性に関する情報を開示してはいけません。
● ソーシャルエンジニアリング (Social Engineering)
○ 許可なく他人になりすまして、ソーシャルエンジニアリングをしてはいけません。
https://www.hackerone.com/policies/code-of-conduct
Slide 44
Slide 44 text
44
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプラットフォームの規約
行動規範 (Code of Conduct, CoC):一部記載
● 違法または偽装ソフトウェアの使用 (Using illegal or counterfeit software)
○ バグハンターが使用するツールについて単独で責任を負ってください。
○ 違法または偽造ソフトウェアのツールが禁止されています。
● 恐喝/脅迫 (Extortion/Blackmail)
○ 強制によって賞金・金銭、またはサービスを得ようとしてはいけません。
○ 個々の恐喝または脅迫は、深刻度に応じてエスカレートされ、
刑事犯罪に相当する場合があります。
https://www.hackerone.com/policies/code-of-conduct
Slide 45
Slide 45 text
45
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプラットフォームの規約
行動規範 (Code of Conduct, CoC):まとめ
● 倫理的な脆弱性調査
○ 脆弱性の発見を目的として、許可された範囲内でのみ調査や検証をすること。
○ 発見した脆弱性を悪用したり、データを盗んだり、許可なく公開してはいけない。
○ 各バグバウンティプログラムの規約やルールに従うこと。
● プロフェッショナルな行動
○ 企業とのコミュニケーションを尊重し、丁寧かつ建設的な態度で接すること。
○ バグバウンティプログラムのルールや規約を遵守すること。
○ 報酬金目当てに走らず、セキュリティ向上に貢献することを意識すること。
ポイント
Slide 46
Slide 46 text
46
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
プログラムの
規約・ルール
Slide 47
Slide 47 text
47
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプログラムの規約
紹介するパブリックプログラム:例
プラットフォーム:IssueHunt
● Rakuten Group, Inc. (VDP)
○ https://issuehunt.io/programs/rakuten-vdp
● LINE WORKS (BBP)
○ https://issuehunt.io/programs/d7c3def6-9500-469d-b114-e5dd71d39621
アクション
・実際に開いて
確認してみよう
(紹介のみ)
Slide 48
Slide 48 text
48
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプログラムの規約
プログラムの主な概要
● プログラムの概要
● 対象範囲 (Scope)
● 対象外 (Out of Scope, OoS)
○ 対象外の範囲
○ 対象外の脆弱性
● 注意事項・禁止行為
Slide 49
Slide 49 text
49
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプログラムの規約
対象範囲 (Scope)
● 許可された 調査対象を明確に示したもの
● スコープ定義の例 (Webの場合)
○ ドメイン:「example.com」
■ 例:https://example.com/login , https://example.com/search
○ サブドメイン入り:「*.example.com」
■ 例:https://www2. example.com/login, https://open. example.com/search
○ 特定のパス以下のみ:「example.com/api/*」
■ 例:https://www.example.com/api/search , https://www.example.com/api/token
Slide 50
Slide 50 text
50
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプログラムの規約
対象範囲 (Scope):例1
Slide 51
Slide 51 text
51
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプログラムの規約
対象範囲 (Scope):例2
Slide 52
Slide 52 text
52
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプログラムの規約
対象外 (Out of Scope,OoS)
● 禁止された 調査対象や脆弱性を明確に示したもの
● 対象外の例
○ 実際の検証コードのない、仮説的または理論的な脆弱性
○ 当社サービスの中断につながる可能性のあるサーバーサイドDoS攻撃
○ 任意のユーザーにスパムメッセージを送信する機能
○ 重要でない機能におけるCSRFトークンの不在
○ 古いブラウザやプラットフォームに起因する脆弱性
○ ユーザー名/電子メールの列挙のみ
Slide 53
Slide 53 text
53
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプログラムの規約
対象外 (Out of Scope,OoS):例
Slide 54
Slide 54 text
54
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプログラムの規約
注意事項:例
Slide 55
Slide 55 text
55
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプログラムの規約
禁止行為:例
Slide 56
Slide 56 text
56
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプログラムの規約
その他:例
● ツールに関して「リクエスト間隔の制限」を設ける
● HTTPリクエストに指定された「任意のヘッダー」を付与する
● 資格要件
○ 当社または関連会社の現従業員ではないこと。
○ 16歳以上であること。
Slide 57
Slide 57 text
57
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティプログラムの規約
特に大事な注意点
● 許可された調査範囲(Scope,OoS)を必ず守ること
○ 反すると「不正アクセス行為の禁止等に関する法律」に該当する可能性がある
■ > 当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。
● 禁止行為や注意事項を必ず守ること
○ プライバシー侵害, データの破壊, 認証情報の総当たり攻撃, など
○ 自ら保持していないアカウントとやりとりする行為 (実際の顧客情報の取得行為)
■ 正しい例) 認可の検証をする際は、アカウントを2つ用意して、保持するアカウント同士で
検証する。
→ バグバウンティの対象は基本的に「リアルワールドで稼働中のサービス」である 点
ポイント
Slide 58
Slide 58 text
58
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
タイムテーブル (120分)
10:00 ~ 10:10 (10分) 前置き + 本題説明
10:10 ~ 10:20 (10分) バグバウンティの概要
10:20 ~ 10:30 (10分) 規約・ルールの把握
10:30 ~ 10:50 (20分) 初期調査編
10:50 ~ 11:00 (10分) 休憩 + 自習
11:00 ~ 11:40 (40分) 脆弱性調査編
11:40 ~ 11:45 (5分) レポートの作成方法
11:45 ~ 11:50 (5分) まとめ
11:50 ~ 12:00 (10分) Q&A
Slide 59
Slide 59 text
59
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける
主な調査の流れ
Slide 60
Slide 60 text
60
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける主な調査の流れ
全体的な調査の流れ (ドメインの場合)
1. バグバウンティプログラムを選ぶ
2. Scopeから調査対象を選ぶ
3. ドメイン (Web)を調査する
a. 初期調査 (Recon)
b. 脆弱性調査 (Research)
4. 脆弱性レポートを作成&提出する
Slide 61
Slide 61 text
61
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける主な調査の流れ
全体的な調査の流れ (ドメインの場合)
1. バグバウンティプログラムを選ぶ
2. Scopeから調査対象を選ぶ
3. ドメイン (Web)を調査する
a. 初期調査 (Recon)
b. 脆弱性調査 (Research)
4. 脆弱性レポートを作成&提出する
ハンズオン (体験型学習 )
で一緒にやってみよう!
Slide 62
Slide 62 text
62
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける
調査前のタスク
Slide 63
Slide 63 text
63
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける調査前のタスク
[非公開]
● 座学
Slide 64
Slide 64 text
64
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける
初期調査
Slide 65
Slide 65 text
65
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける初期調査
[非公開]
● 座学 + ハンズオン(実習)
Slide 66
Slide 66 text
66
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
タイムテーブル (120分)
10:00 ~ 10:10 (10分) 前置き + 本題説明
10:10 ~ 10:20 (10分) バグバウンティの概要
10:20 ~ 10:30 (10分) 規約・ルールの把握
10:30 ~ 10:50 (20分) 初期調査編
10:50 ~ 11:00 (10分) 休憩 + 自習
11:00 ~ 11:40 (40分) 脆弱性調査編
11:40 ~ 11:45 (5分) レポートの作成方法
11:45 ~ 11:50 (5分) まとめ
11:50 ~ 12:00 (10分) Q&A
Slide 67
Slide 67 text
67
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける初期調査
おまけ(時間があれば)
● 講師が実際にReconした際のリアルな結果を少し紹介する
○ ログファイル等
Slide 68
Slide 68 text
68
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
タイムテーブル (120分)
10:00 ~ 10:10 (10分) 前置き + 本題説明
10:10 ~ 10:20 (10分) バグバウンティの概要
10:20 ~ 10:30 (10分) 規約・ルールの把握
10:30 ~ 10:50 (20分) 初期調査編
10:50 ~ 11:00 (10分) 休憩 + 自習
11:00 ~ 11:40 (40分) 脆弱性調査編
11:40 ~ 11:45 (5分) レポートの作成方法
11:45 ~ 11:50 (5分) まとめ
11:50 ~ 12:00 (10分) Q&A
Slide 69
Slide 69 text
69
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける
脆弱性の事例
Slide 70
Slide 70 text
70
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性の事例
バグバウンティで扱われる脆弱性の特徴
● 対象内な脆弱性 (求められる脆弱性)
○ 現実的に脅威・危険度が想定できる脆弱性
■ 例:アカウントの乗っ取り, 機密情報の取得, 不正な操作, ...
● 対象外な脆弱性
○ 現実的に脅威・危険度があまり想定できない脆弱性
■ 例:重要でないCSRF, ユーザーやメールの列挙, Self XSS,
重要でないCookieにセキュアフラグ属性がない, ...
Slide 71
Slide 71 text
71
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性の事例
HackerOne Top 10 Vulnerabilities (2023)
1. Cross Site Scripting (XSS)
2. Improper Access Control (アクセス制御の不備)
3. Information Disclosure (情報開示)
4. Insecure Direct Object Reference (IDOR)
5. Privilege Escalation (権限昇格)
6. Misconfiguration (構成ミス)
7. Improper Authentication (認証の不備)
8. Business Logic Errors (ロジックの不備)
9. Open Redirect
10. Improper Authorization (認可の不備)
https://www.hackerone.com/reports/7th-annual-hacker-powered-security-report
Slide 72
Slide 72 text
72
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性の事例
主な脆弱性のタイプ
● Active Vulnerability (能動的な脆弱性)
○ 攻撃者が直接操作することで脅威が生まれる脆弱性
■ 例:SQLi, IDOR, アクセス制御の不備, 情報開示, ...
● Passive Vulnerability (受動的な脆弱性)
○ 攻撃者が仕掛けた罠に対して被害者が操作することで
脅威が生まれる脆弱性
■ 例:XSS, CSRF, OpenR, ...
Slide 73
Slide 73 text
73
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性の事例
HackerOne Hacktivity (実際の脆弱性レポート)
https://hackerone.com/hacktivity/
Slide 74
Slide 74 text
74
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性の事例
HackerOne Reports (Topまとめ)
https://github.com/reddelexc/hackerone-reports
● Tops 100
● Tops by Bug Type
● Tops by Program
Slide 75
Slide 75 text
75
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性の事例
バグバウンティで扱われる脆弱性の特徴:まとめ
● 事例からリアルワールドでよくある脆弱性 の種類を把握する
○ HackerOne Top 10 Vulnerabilities
○ OWASP Top 10, OWASP API Security Top 10
● 過去の脆弱性レポートから実際の脆弱性 を把握する
○ HackerOne Hacktivity, hackerone-reports,
○ ブログ, X(Twitter)
ポイント
Slide 76
Slide 76 text
76
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける
脆弱性調査
Slide 77
Slide 77 text
77
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性調査
[非公開]
● 座学 + ハンズオン(実習)
Slide 78
Slide 78 text
78
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける
脆弱性のエスカレーション
Slide 79
Slide 79 text
79
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
脆弱性のエスカレーション
[非公開]
● 座学 (資料のみでスキップ)
Slide 80
Slide 80 text
80
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
タイムテーブル (120分)
10:00 ~ 10:10 (10分) 前置き + 本題説明
10:10 ~ 10:20 (10分) バグバウンティの概要
10:20 ~ 10:30 (10分) 規約・ルールの把握
10:30 ~ 10:50 (20分) 初期調査編
10:50 ~ 11:00 (10分) 休憩 + 自習
11:00 ~ 11:40 (40分) 脆弱性調査編
11:40 ~ 11:45 (5分) レポートの作成方法
11:45 ~ 11:50 (5分) まとめ
11:50 ~ 12:00 (10分) Q&A
Slide 81
Slide 81 text
81
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける
脆弱性レポートの作成方法
Slide 82
Slide 82 text
82
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性レポート
主な脆弱性レポートの項目
1. レポートのタイトル
a. 端的に脆弱性の指摘がイメージできる内容を記載する
2. スコープの選定
a. 対象のスコープを選ぶ
3. 危険度(深刻度)の設定
a. CVSSのスコアで設定する
4. 脆弱性の説明等
a. 概要, 再現方法, 脅威, 参考資料, などを記載する
Slide 83
Slide 83 text
83
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性レポート
紹介するの脆弱性レポートのテンプレート
プラットフォーム:IssueHunt
● テンプレート
○ https://issuehunt.io/programs/f2eab25e-6a83-4a6c-bc26-409316a40a55/su
bmit
アクション
・実際に開いて
確認してみよう
(紹介のみ)
Slide 84
Slide 84 text
84
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性レポート
公式の「高品質な脆弱性レポートの特徴」とは
● 概要・再現手順
○ 脆弱性の概要を「明確」&「簡潔」に再現可能な手順を含む状態で説明する。
○ 脆弱性の検証や再現手順の補足とし、スクリーンショット や動画を添付する。
● 脅威・影響
○ 脆弱性によって、どういう脅威(リスク)に繋がるかの危険性の具体例 を説明する。
○ 脆弱性の脅威に繋がる「想定しうる攻撃シナリオ 」を記載する。
ポイント
Slide 85
Slide 85 text
85
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性レポート
公式の「高品質な脆弱性レポートの特徴」とは
● HackerOne
○ Quality Reports
■ https://docs.hackerone.com/en/articles/8475116-quality-reports
● Bugcrowd
○ Writing a Good Bug Report
■ https://docs.bugcrowd.com/researchers/reporting-managing-submissions/reporting-a-bug/#writing-a
-good-bug-report
● Intigriti
○ How to write and submit a good report
■ https://kb.intigriti.com/en/articles/5379086-how-to-write-and-submit-a-good-report
Slide 86
Slide 86 text
86
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性レポート
想定しうる攻撃シナリオ:例1
● NG: 推測や取得が困難な他のIDによるIDOR (認可不備)
○ 現実的ではないという判断で危険度(リスクレベル)が下がる傾向あり
● OK: 推測や取得が可能な他のIDによるIDOR (認可不備)
○ 現実的な脆弱性攻撃という判断になる
Slide 87
Slide 87 text
87
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性レポート
想定しうる攻撃シナリオ:例2
● NG: Self XSS
○ 被害者自身が任意のJSコードを実行させる必要がある → OoS
● OK: Self XSS + CSRF → RXSS (Reflected XSS)
○ 攻撃者が用意した悪意のあるページに被害者をアクセスさせ、
意図しない操作(Self XSS)を被害者のブラウザ上で実行させることで、
被害者になりすまして任意のJSコードを実行させられる。
■ 例:パスワードの変更, アカウントの乗っ取り, ...
最低限:「alert(location)」などでアラート実行を示すようにする
Slide 88
Slide 88 text
88
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性レポート
想定しうる攻撃シナリオ:例3
● NG: SSRF with Ping only to localhost
○ localhostに対してPingのみのSSRFは脅威としては認められない → OoS
● OK: SSRF leaks Confidential Information
○ localhostの別ポートや内部で動くサーバーに対してSSRFができる
■ 例:別ポートの管理者画面, AWSメタデータサービス
Slide 89
Slide 89 text
89
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性レポート
想定しうる攻撃シナリオ
● 脆弱性の証明において、「攻撃者」と「被害者」の立場を定める。
○ その上で、脆弱性の具体的な脅威を示すようにする。
● 現実的に、発生する可能性のある脆弱性攻撃かを示す。
○ 脆弱性を証明する際に攻撃条件(シナリオ) も示すようにする。
■ 攻撃条件が厳しすぎると危険度が下がる。
ポイント
Slide 90
Slide 90 text
90
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性レポート
脆弱性レポートのトリアージ対応 (選別)
● 報告内容が有効なものか (脆弱性として認められるか)
○ 脆弱性として脅威(Impact)や危険度があるか
○ 再現方法によって脆弱性が再現されるか
○ 脆弱性がScope内でOoSに当てはまっていないか
● 重複した報告内容か
○ 既に報告されている脆弱性か
Slide 91
Slide 91 text
91
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性レポート
脆弱性の危険度(深刻度)
● 一般的には「CVSS」で評価される (Low, Medium, High, Critical)
CVSS (Common Vulnerability Scoring System,
共通脆弱性評価システム )
Slide 92
Slide 92 text
92
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性レポート
CVSSスコアの範囲
危険度レベル スコア範囲
None 0.0
Low 0.1 〜 3.9
Medium 4.0 〜 6.9
High 7.0 〜 8.9
Critical 9.0 〜 10.0
Slide 93
Slide 93 text
93
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性レポート
脆弱性の危険度(深刻度):例
● Reflected XSS :一般的な反射型XSS
○ CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N → 5.4 Medium
● Stored XSS:一般的な蓄積型XSS
○ CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N → 6.5 Medium
● Reflected XSS to ATO:XSSによる一般アカウントの乗っ取り
○ CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N → 7.1 High
● Stored XSS to ATO:XSSによる管理者アカウントの乗っ取り
○ CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N → 9.1 Critical
脆弱性の状態によって
評価にとても変動あり
Slide 94
Slide 94 text
94
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティにおける脆弱性レポート
脆弱性レポートの作成方法:まとめ
● 「高品質な脆弱性レポートの特徴 」を踏まえて作成する
○ 明確&簡潔, スクリーンショット や動画, 危険性の具体例 , 想定しうる攻撃シナリオ
● 実際の脆弱性レポート(Hacktivity)を参考にする
○ (質が良いもの悪いものと色々あります)
● 脆弱性を証明する上で攻撃条件や脅威を正しく示すようにする
ポイント
Slide 95
Slide 95 text
95
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
タイムテーブル (120分)
10:00 ~ 10:10 (10分) 前置き + 本題説明
10:10 ~ 10:20 (10分) バグバウンティの概要
10:20 ~ 10:30 (10分) 規約・ルールの把握
10:30 ~ 10:50 (20分) 初期調査編
10:50 ~ 11:00 (10分) 休憩 + 自習
11:00 ~ 11:40 (40分) 脆弱性調査編
11:40 ~ 11:45 (5分) レポートの作成方法
11:45 ~ 11:50 (5分) まとめ
11:50 ~ 12:00 (10分) Q&A
Slide 96
Slide 96 text
96
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
まとめ
Slide 97
Slide 97 text
97
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
本講座の概要 (定義)
『実践的なバグバウンティ入門』
本講座では、バグバウンティにおける初期調査や脆弱性調査などの方法 を
ハンズオン形式で実施します。
特にバグハンターとしての視点 で、実際のバグバウンティの対象に対して
どういう情報収集をしたり、どういう観点で脆弱性調査をするかなどの
ポイントを押さえながら 、一緒に体験していただきます。
また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に
限定して、Webセキュリティの要素のみを取り扱います。
https://issuehunt.jp/events/2024/summer/p3nfest
Slide 98
Slide 98 text
98
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
本講座のポイント (ゴール)
1. バグバウンティの概要
2. ドメイン(Web)に対する初期調査の方法
3. ドメイン(Web)に対する脆弱性調査の方法
バグバウンティの特長を知る
● CTFやHTBとのアプローチの違い
Slide 99
Slide 99 text
99
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ入門
バグバウンティに取り組む上で大事なこと
● バグバウンティは基本的に「長期戦」である
○ 「継続的な取り組み 」が大切
● 脆弱性に対して好奇心や探究心を持って調査すること
○ 根気よく探し続ける, 検証し続ける, 調査を楽しむ
● 常にインプット とアウトプット(実践) を繰り返すこと
○ インプット:知見, テクニック, 事例
○ アウトプット:調査, 検証
ポイント
Slide 100
Slide 100 text
100
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ入門
バグバウンティの醍醐味 (個人の感想)
● 許可の上でリアルワールドのサービス に対して脆弱性を探して良い点
○ 規約の範囲内で実際の脅威 を示せるところまで深ぼって調査や検証をして良い点
○ 好きな時間 に探したいプログラムの対象 に対して取り組める点
○ 事業者や利用者へのセキュリティ貢献に繋がる点 (世の中のためになる点)
● 他の人がまだ見つけていない脆弱性を見つけられるかの実力勝負な点
● 対価として報酬金やプラットフォーム内のポイント(評価)が貰える点
○ 対外的に成果が実績となる点
Slide 101
Slide 101 text
101
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ入門
バグバウンティに取り組むことで得られること
● 経験
○ 実際の脆弱性を探す経験
● 実績
○ 実際に脆弱性を見つけた実績
● お金
○ 対価としての報酬金
Slide 102
Slide 102 text
102
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ入門
バグバウンティに取り組むことで得られること
● 経験
○ 実際の脆弱性を探す経験 → 脆弱性診断, PT, 保守
● 実績
○ 実際に脆弱性を見つけた実績 → 就活, キャリアアップ
● お金
○ 対価としての報酬金 → モチベーション, 収入
Slide 103
Slide 103 text
103
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ入門
おすすめのロードマップ (個人の意見)
1. 脆弱性の概要や仕組みを学ぶ
a. Web Security Academy, PentesterLab, TryHackMe
2. 実際の脆弱性の事例や観点を知る
a. Hacktivity, CVE,
3. 各調査(Recon, Research)のアプローチ方法 を知る
a. ブログ, YouTube, X(Twitter), コミュニティ, 自己研究
4. バグバウンティ(VDP, BBP)にチャレンジ!
a. IssueHunt, 3大プラットフォーム
ポイント
Slide 104
Slide 104 text
104
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
バグバウンティ入門
おすすめの学習コンテンツ (Webセキュリティ)
● Web Security Academy (無料)
○ https://portswigger.net/web-security
● PentesterLab (有料)
○ https://pentesterlab.com/
● TryHackMe (無料)
○ https://tryhackme.com/
■ Learning Paths:Web Fundamentals
■ Rooms:NahamStore
Slide 105
Slide 105 text
105
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
IssueHunt「学生限定バグバウンティイベント」
https://issuehunt.jp/events/2024/summer/p3nfestbugbounty
イベント期間
・9/2〜9/30
Slide 106
Slide 106 text
106
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
ブログ「バグバウンティ入門(始め方)」
https://scgajge12.hatenablog.com/entry/bugbounty_beginner
Slide 107
Slide 107 text
107
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
ブログ:バグバウンティ系の記事
blog of morioka12
1. 2023-09-25:バグバウンティ入門 (始め方)
2. 2023-10-25:バグバウンティにおけるBug Bounty Hunter の実態調査まとめ
3. 2023-12-04:バグバウンティで使えるおすすめの Burp Extensions 10選
4. 2023-12-05:バグバウンティで使えるおすすめのツール10選
5. 2023-12-06:バグバウンティにおける JavaScript の静的解析と動的解析まとめ
6. 2023-12-07:バグバウンティで使えるおすすめのブラウザ拡張機能 10選
7. 2023-12-12:バグバウンティにおける Critical な脆弱性報告の事例まとめ
8. 2023-12-13:バグバウンティにおけるモバイルアプリ の脆弱性報告の事例まとめ
9. 2023-12-27:バグバウンティにおける人気脆弱性報告 Top 10 (2023年版)
10. 2024-01-17:バグバウンティにおける XSS の具体的な脅威の事例まとめ
11. 2024-07-29:バグバウンティにおけるおすすめの学習コンテンツまとめ(YouTube 編)
Slide 108
Slide 108 text
108
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
質疑応答 (Q&A)
11:50 ~ 12:00 (10分)
残り時間でなんでもお答えします!
(夕方の懇親会でも可 )
Slide 109
Slide 109 text
109
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
連絡先 (相談・依頼)
森岡(morioka12)への連絡先
● X (Twitter)
○ @scgajge12
● Discord
○ scgajge12
● メールアドレス
○ [email protected]
https://scgajge12.github.io/
Slide 110
Slide 110 text
110
PUBLIC
P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12
ご清聴ありがとうございました!
Let’s enjoy Bug Bounty Hunting !
@scgajge12