実践的なバグバウンティ入門

1  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 2024年8月31日（土）10:00 〜 12:00 
実践的なバグバウンティ入門   P3NFEST 2024 Summer　森岡優太 (@scgajge12)  ハンズオン講座

2  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」
@scgajge12 本講座の注意点   注意・免責事項   • 本資料は、発表者の個人的な見解に基づいて作成されており、   所属組織の見解を代表するものではありません。   • 本資料は、セキュリティに関する知見を広く共有する目的で   作成されており、悪用行為を推奨するものではありません。   • 本資料は、非公開とします。( 外部公開禁止 ) [公開用(非公開部分あり)]   ◦ SNSで感想等をつぶやくことは可とします。   ▪ ハッシュタグ： #P3NFEST  ・完全版： 192ページ・公開版： 110ページ

3  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 前置き 

@scgajge12 自己紹介「森岡優太（もりおかゆうた）」   ▪略歴  神奈川県出身・在住  2024年4月〜　GMOサイバーセキュリティ byイエラエ株式会社  　　　　　　　　　　　　　　　　　　　　　　新卒　セキュリティエンジニア  ▪サブ情報   学生時代から数社でWebやクラウドなどの脆弱性診断等の業務を経験し、  現在は所属企業でWebペネトレーションテストやソースコード診断等の業務に従事する。   外部活動では、サイバーセキュリティに関する登壇や講師、執筆などに取り組み、   プライベートでもバグバウンティで脆弱性探しに取り組んでいる。   　　　AWS Community Builder (Security & Identity Builder since 2024)     　　　　　　　　　　現役のバグハンター！   @scgajge12 https://scgajge12.github.io/ 直近のイベント・6月：セキュリティミニキャンプ講師・7月：ISC2 Japan Chapter 登壇・7月：Hack Fes. 2024 講師

@scgajge12 Webペネトレーションテスト (WebPT)   https://gmo-cybersecurity.com/service/assessment/pentest/

@scgajge12 2024年2月「P3NFEST Conf 2024」登壇   https://x.com/securesky_tech/status/1759417079755919628

@scgajge12 インタビュー取材「レバテックLAB」   バグバウンティに取り組む理由とその醍醐味   https://levtech.jp/media/article/interview/detail_466/

@scgajge12 直近のバグバウンティ実績 (2024年,学生時代)   欧州 No1 バグバウンティプラットフォーム「Intigriti」   • 2024年 Q1 (1~3月)   ◦ ランキング：17位　受賞 (20位以内)  ◦ 脆弱性認定(Accept)：31件  • 2024年 2月   ◦ ランキング：6位  ◦ 脆弱性認定(Accept)：25件  https://scgajge12.hatenablog.com/entry/intigriti_q1_2024

@scgajge12 ポッドキャスト「Bug Bounty JP Podcast」   https://bugbountyjppodcast.notion.site/Bug-Bounty-JP-Podcast-8bf1080383a54c4a8848f10bfeb874b3 Discord コミュニティサーバーを開設しました！

10  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 本題 

@scgajge12 本イベントの概要   P3NFEST（ペンフェスト）   • 学生のためのサイバーセキュリティカンファレンス (主催：IssueHunt)   ◦ 第1回：2024年2月17日　P3NFEST Conf 2024  ◦ 第2回：2024年8月31日　P3NFEST 2024 Summer（今回）  • 豪華登壇者による講演や脆弱性診断入門等のハンズオン講座を提供。  現地参加学生に交通費を支給！  • 日本国内の学生に対してカンファレンスやバグバウンティを通じて  「様々なセキュリティキャリア」をより身近なものとするべく、開催。  https://issuehunt.jp/events/2024/summer/p3nfest

@scgajge12 Q. 質問  1. バグバウンティを元々知っていた人？   2. バグバウンティに取り組んだことある人？  

@scgajge12 本講座の概要 (定義)   『実践的なバグバウンティ入門』   本講座では、バグバウンティにおける初期調査や脆弱性調査などの方法を  ハンズオン形式で実施します。   特にバグハンターとしての視点で、実際のバグバウンティの対象に対して   どういう情報収集をしたり、どういう観点で脆弱性調査をするかなどの   ポイントを押さえながら、一緒に体験していただきます。   また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に  限定して、Webセキュリティの要素のみを取り扱います。  https://issuehunt.jp/events/2024/summer/p3nfest

@scgajge12 本講座のポイント (ゴール)   １. バグバウンティの概要２. ドメイン(Web)に対する初期調査の方法３. ドメイン(Web)に対する脆弱性調査の方法

@scgajge12 本講座のポイント (ゴール)   １. バグバウンティの概要２. ドメイン(Web)に対する初期調査の方法３. ドメイン(Web)に対する脆弱性調査の方法バグバウンティの特長を知る • CTFやHTBとのアプローチの違い

@scgajge12 本講座の視点   全体的に話すこと   • ⚪ 取り上げる   ◦ バグバウンティで脆弱性を探す側の視点 (バグハンター)   ◦ 対象：ドメイン(WebサイトやWebアプリケーション)  ◦ レベル感：入門者向けの話   • × 取り上げない   ◦ バグバウンティを導入する企業側の視点 (事業者)   ◦ 対象：スマホアプリ, デスクトップアプリ, ソフトウェア, ソースコード   ◦ レベル感：中堅者以上の話  

@scgajge12 タイムテーブル (120分)   10:00 ~ 10:10 (10分)　前置き + 本題説明   10:10 ~ 10:20 (10分)　バグバウンティの概要  10:20 ~ 10:30 (10分)　規約・ルールの把握  10:30 ~ 10:50 (20分)　初期調査編  10:50 ~ 11:00 (10分)　休憩 + 自習  11:00 ~ 11:40 (40分)　脆弱性調査編  11:40 ~ 11:45 (5分)　レポートの作成方法  11:45 ~ 11:50 (5分)　まとめ  11:50 ~ 12:00 (10分)　Q&A 

@scgajge12 タイムテーブル (120分)   10:00 ~ 10:10 (10分)　前置き + 本題説明  10:10 ~ 10:20 (10分)　バグバウンティの概要   10:20 ~ 10:30 (10分)　規約・ルールの把握  10:30 ~ 10:50 (20分)　初期調査編  10:50 ~ 11:00 (10分)　休憩 + 自習  11:00 ~ 11:40 (40分)　脆弱性調査編  11:40 ~ 11:45 (5分)　レポートの作成方法  11:45 ~ 11:50 (5分)　まとめ  11:50 ~ 12:00 (10分)　Q&A   

19  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティ (Bug Bounty)
 

@scgajge12 バグバウンティ (Bug Bounty)   バグバウンティ / 脆弱性報奨金制度   • 許可されたリアルワールドのサービスに対して脆弱性を調査し、  発見して報告された脆弱性に対して報奨金が支払われる制度のこと。   

@scgajge12 バグバウンティ (Bug Bounty)   バグバウンティプラットフォーム   • バグバウンティを導入したい企業と脆弱性を探すバグハンターを  仲介して、運営するプラットフォームのこと。  バグハンター導入企業仲介役 (トリアージ )

@scgajge12 バグバウンティ (Bug Bounty)   3大バグバウンティプラットフォーム    

@scgajge12 バグバウンティ (Bug Bounty)   日本国内最大バグバウンティプラットフォーム「IssueHunt」     https://issuehunt.jp/bugbounty

@scgajge12 バグバウンティ (Bug Bounty)   バグバウンティを導入している日系企業：例   HackerOne   • ピクシブ  • LINEヤフー  • トヨタ自動車  • ソニーグループ  • 〜海外〜  ◦ Uber, スターバックス  ◦ Netflix, Spotify, Yahoo  ◦ X , PayPal, Slack  ◦ アメリカ合衆国国防総省  IssueHunt   • LINE WORKS  • コインチェック  • 楽天グループ  • エニグモ  • 日本経済新聞社  • Finatextホールディングス  • ヌーラボ  • kubell (旧Chatwork)  • ビットバンク 

@scgajge12 バグバウンティ (Bug Bounty)   バグバウンティプログラムの種類   • BBP (Bug Bounty Program)   ◦ 脆弱性レポートに対して危険度に合わせて報酬金が支払われる   • VDP (Vulnerability Disclosure Program)   ◦ 脆弱性報告窓口の役割なプログラム  ◦ 脆弱性レポートに対して報酬金が支払われない   ▪ プログラムによっては企業の限定グッズ(Swag)を提供したりする  ▪ BBPに比べてバグハンターの競争率が低い傾向あり  

@scgajge12 バグバウンティ (Bug Bounty)   プログラムのタイプ   • パブリックプログラム   ◦ 誰でも取り組むことが可能なプログラム  • プライベートプログラム   ◦ 一部の招待された者のみ取り組むことが可能なプログラム  ▪ ライバルとなるバグハンターがパブリックプログラムより少ない 

@scgajge12 バグバウンティ (Bug Bounty)   バグバウンティの特徴   　　「報酬金」が各脆弱性の第一報告者にのみ支払われる点    脆弱性レポートの判定 (トリアージ)   • Accept ：第一報告で脆弱性認定 (報酬金あり)  • Duplicate ：既に報告されている重複な脆弱性報告 (報酬金なし)  • Informative ：参考情報程度の報告 (許容内なリスク) 

@scgajge12 バグバウンティ (Bug Bounty)   プラットフォームにおけるランキング制度 (Leaderboard)   • バグハンターの活動を評価して可視化された仕組み   ◦ ランキングの要素  ▪ 発見した脆弱性の数や危険度, 報告の質, 活動の頻度  ◦ ランキングの種類  ▪ 総合ランキング(全期間), 期間別ランキング(月間, 四半期, 年間)  ◦ ランキングのメリット  ▪ モチベーションの向上, スキルアップ, 認知度の向上, 評価軸   

29  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティハンター   (Bug
Bounty Hunter)  

@scgajge12 Bug Bounty Hunter   脆弱性を探して報告する者   • バグハンター (Bug Hunter)   ◦ 脆弱性を探して報告する人のこと。  • バグバウンティハンター (Bug Bounty Hunter)   ◦ バグバウンティプログラムを対象に脆弱性を探し、  報告することで報酬金を獲得する人のこと。  ▪ バグバウンティを本業にしている人：Full-time Bug Bounty Hunter  　　　　　　本講座では統一して「バグハンター」と称します。  

@scgajge12 Bug Bounty Hunter   [調査結果]   バグバウンティで脆弱性を探す動機   1. 挑戦するため (チャレンジ, 腕試し)  2. お金を稼ぐため   3. 知見やテクニックを習得するため       　　　　　　　　　　　　(HackerOneより) 

@scgajge12 ブログ「Bug Bounty Hunterの実態調査まとめ」   https://scgajge12.hatenablog.com/entry/bug_bounty_hunter_report

@scgajge12 バグバウンティ業界 (プラットフォーム版)   一般的なバグハンターのレベル感 (総額)   1. 初心者レベル   a. 0ドル〜500ドルの獲得　(目安：0円〜10万円)  2. 初級者レベル   a. 500ドル〜1,000ドルの獲得　(目安：10万円〜15万円)  3. 中級者レベル   a. 1,000ドル〜10,000ドルの獲得　(目安：15万円〜150万円)  4. 上級者レベル   a. 10,000ドル〜100,000ドルの獲得　(目安：150万円〜1500万円)  5. プロレベル   a. 100,000ドル以上の獲得　(目安：1500万円以上) 

@scgajge12 バグバウンティ業界 (プラットフォーム版)   一般的なバグハンターのレベル感 (総額)   1. 初心者レベル   a. 0ドル〜500ドルの獲得　(目安：0円〜10万円)  2. 初級者レベル   a. 500ドル〜1,000ドルの獲得　(目安：10万円〜15万円)  3. 中級者レベル   a. 1,000ドル〜10,000ドルの獲得　(目安：15万円〜150万円)  4. 上級者レベル   a. 10,000ドル〜100,000ドルの獲得　(目安：150万円〜1500万円)  5. プロレベル   a. 100,000ドル以上の獲得　(目安：1500万円以上)  ちなみに「達人レベル」は ... • 100万ドル以上 (1億円以上) ◦ 現在 HackerOne 29人 ▪ (4億円以上獲得してる人もいる)

@scgajge12 バグバウンティ業界 (プラットフォーム版)   有名記事「初の100万ドル稼いだバグハンター(2019)」の要約   • HackerOneで初めて総額100万ドルを稼いだ19歳の男性 (アルゼンチン人)  ◦ 取り組み期間：2016年〜2019年  ◦ 報告件数：1,670件  • 2015年の16歳から独学でサイバーセキュリティの勉強を始めた  • 2016年の17歳の時に見つけたCSRFで初めて50ドルの報酬金を獲得した  • 1件の最大報酬金額はSSRFで9,000ドルの報酬金を獲得した  • https://hackerone.com/try_to_hack      https://www.hackerone.com/company-news/trytohack-makes-history-first-bug-bounty-hacker-earn-over-1-million

@scgajge12 バグバウンティ業界 (プラットフォーム版)   個人的な「初心者レベル」のレベル感 (始めの目標値)   1. レベル1  a. VDPで5件ほど脆弱性を報告する (Accept, Duplicate)  2. レベル2  a. BBPで1件の報酬金を獲得する (Accept)  3. レベル3  a. BBPで3件ほど報酬金を獲得する (Accept)   4. 脱「初心者レベル」「初級者レベル」  

@scgajge12 バグバウンティ業界 (プラットフォーム版)   バグバウンティプログラムの選び方 (個人の意見)   1. パブリックプログラム × VDP  2. プライベートプログラム × VDP  3. プライベートプログラム × BBP  4. パブリックプログラム × BBP  初心者におすすめ慣れた方におすすめ特徴：　報酬金額が高いプログラムは中級者以上の方が多く取り組んでいる　　　　　　　　　　　　　　　　　　　　　　　　　　（競争率が高い傾向あり）

@scgajge12 バグバウンティ (Bug Bounty)   バグバウンティの醍醐味 (個人の感想)   • 許可の上でリアルワールドのサービスに対して脆弱性を探して良い点  ◦ 規約の範囲内で実際の脅威を示せるところまで深ぼって調査や検証をして良い点  ◦ 好きな時間に探したいプログラムの対象に対して取り組める点  ◦ 事業者や利用者へのセキュリティ貢献に繋がる点 (世の中のためになる点)  • 他の人がまだ見つけていない脆弱性を見つけられるかの実力勝負な点   • 対価として報酬金やプラットフォーム内のポイント(評価)が貰える点  ◦ 対外的に成果が実績となる点  ポイント

@scgajge12 タイムテーブル (120分)   10:00 ~ 10:10 (10分)　前置き + 本題説明  10:10 ~ 10:20 (10分)　バグバウンティの概要  10:20 ~ 10:30 (10分)　規約・ルールの把握   10:30 ~ 10:50 (20分)　初期調査編  10:50 ~ 11:00 (10分)　休憩 + 自習  11:00 ~ 11:40 (40分)　脆弱性調査編  11:40 ~ 11:45 (5分)　レポートの作成方法  11:45 ~ 11:50 (5分)　まとめ  11:50 ~ 12:00 (10分)　Q&A   

40  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 プラットフォームの   規約・ルール
 

@scgajge12 バグバウンティプラットフォームの規約   行動規範 (Code of Conduct, CoC)   • プラットフォームにおいて、  バグハンターが守るべき行動の基準やルールを定めたもの。  ◦ 倫理、道徳、法律、社会規範、価値観などに基づいて作成されている。    　　　　　　大前提として取り組む上でとても大切なこと！  

@scgajge12 バグバウンティプラットフォームの規約   行動規範 (Code of Conduct, CoC)：一部記載   • 非専門的な行為 (Unprofessional Behavior)   ◦ プラットフォーム上でのやり取りは、  常に敬意を持って、プロフェッショナルな態度と口調で行うようにしてください。  • サービスの低下/安全でないテスト (Service Degradation/Unsafe Testing)   ◦ バグハンターは、事前に許可なく安全でないテストを実行してはいけません。  ▪ 例：顧客の内部情報に過剰にアクセスする, 実際のデータベースを抽出する, ...  ◦ 各プログラムのテストポリシーを要確認すること。  https://www.hackerone.com/policies/code-of-conduct

@scgajge12 バグバウンティプラットフォームの規約   行動規範 (Code of Conduct, CoC)：一部記載   • 不正開示 - プライベートプログラム (Unauthorized Disclosure)   ◦ 各プライベートプログラムの存在を公開してはいけません。  • 協調されていない脆弱性開示 - 公開プログラム   　　　　　　　　　　　　　 (Uncoordinated Vulnerability Disclosure)   ◦ 許可なく脆弱性に関する情報を開示してはいけません。  • ソーシャルエンジニアリング (Social Engineering)   ◦ 許可なく他人になりすまして、ソーシャルエンジニアリングをしてはいけません。  https://www.hackerone.com/policies/code-of-conduct

@scgajge12 バグバウンティプラットフォームの規約   行動規範 (Code of Conduct, CoC)：一部記載   • 違法または偽装ソフトウェアの使用 (Using illegal or counterfeit software)   ◦ バグハンターが使用するツールについて単独で責任を負ってください。  ◦ 違法または偽造ソフトウェアのツールが禁止されています。  • 恐喝/脅迫 (Extortion/Blackmail)   ◦ 強制によって賞金・金銭、またはサービスを得ようとしてはいけません。  ◦ 個々の恐喝または脅迫は、深刻度に応じてエスカレートされ、  刑事犯罪に相当する場合があります。  https://www.hackerone.com/policies/code-of-conduct

@scgajge12 バグバウンティプラットフォームの規約   行動規範 (Code of Conduct, CoC)：まとめ   • 倫理的な脆弱性調査   ◦ 脆弱性の発見を目的として、許可された範囲内でのみ調査や検証をすること。  ◦ 発見した脆弱性を悪用したり、データを盗んだり、許可なく公開してはいけない。  ◦ 各バグバウンティプログラムの規約やルールに従うこと。  • プロフェッショナルな行動   ◦ 企業とのコミュニケーションを尊重し、丁寧かつ建設的な態度で接すること。  ◦ バグバウンティプログラムのルールや規約を遵守すること。  ◦ 報酬金目当てに走らず、セキュリティ向上に貢献することを意識すること。  ポイント

46  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 プログラムの   規約・ルール
 

@scgajge12 バグバウンティプログラムの規約   紹介するパブリックプログラム：例   プラットフォーム：IssueHunt  • Rakuten Group, Inc. (VDP)  ◦ https://issuehunt.io/programs/rakuten-vdp  • LINE WORKS (BBP)  ◦ https://issuehunt.io/programs/d7c3def6-9500-469d-b114-e5dd71d39621      アクション・実際に開いて　確認してみよう　(紹介のみ)

@scgajge12 バグバウンティプログラムの規約   プログラムの主な概要   • プログラムの概要  • 対象範囲 (Scope)  • 対象外 (Out of Scope, OoS)  ◦ 対象外の範囲  ◦ 対象外の脆弱性  • 注意事項・禁止行為   

@scgajge12 バグバウンティプログラムの規約   対象範囲 (Scope)   • 許可された調査対象を明確に示したもの   • スコープ定義の例 (Webの場合)  ◦ ドメイン：「example.com」   ▪ 例：https://example.com/login , https://example.com/search   ◦ サブドメイン入り：「*.example.com」   ▪ 例：https://www2. example.com/login, https://open. example.com/search  ◦ 特定のパス以下のみ：「example.com/api/*」   ▪ 例：https://www.example.com/api/search , https://www.example.com/api/token    

@scgajge12 バグバウンティプログラムの規約   対象範囲 (Scope)：例1        

@scgajge12 バグバウンティプログラムの規約   対象範囲 (Scope)：例2        

@scgajge12 バグバウンティプログラムの規約   対象外 (Out of Scope,OoS)   • 禁止された調査対象や脆弱性を明確に示したもの   • 対象外の例  ◦ 実際の検証コードのない、仮説的または理論的な脆弱性  ◦ 当社サービスの中断につながる可能性のあるサーバーサイドDoS攻撃  ◦ 任意のユーザーにスパムメッセージを送信する機能  ◦ 重要でない機能におけるCSRFトークンの不在  ◦ 古いブラウザやプラットフォームに起因する脆弱性  ◦ ユーザー名/電子メールの列挙のみ 

@scgajge12 バグバウンティプログラムの規約   対象外 (Out of Scope,OoS)：例  

@scgajge12 バグバウンティプログラムの規約   注意事項：例  

@scgajge12 バグバウンティプログラムの規約   禁止行為：例  

@scgajge12 バグバウンティプログラムの規約   その他：例   • ツールに関して「リクエスト間隔の制限」を設ける  • HTTPリクエストに指定された「任意のヘッダー」を付与する  • 資格要件  ◦ 当社または関連会社の現従業員ではないこと。  ◦ 16歳以上であること。 

@scgajge12 バグバウンティプログラムの規約   特に大事な注意点   • 許可された調査範囲(Scope,OoS)を必ず守ること   ◦ 反すると「不正アクセス行為の禁止等に関する法律」に該当する可能性がある  ▪ > 当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。  • 禁止行為や注意事項を必ず守ること   ◦ プライバシー侵害, データの破壊, 認証情報の総当たり攻撃, など  ◦ 自ら保持していないアカウントとやりとりする行為 (実際の顧客情報の取得行為)  ▪ 正しい例) 認可の検証をする際は、アカウントを2つ用意して、保持するアカウント同士で  検証する。  　→ バグバウンティの対象は基本的に「リアルワールドで稼働中のサービス」である点  ポイント

@scgajge12 タイムテーブル (120分)   10:00 ~ 10:10 (10分)　前置き + 本題説明  10:10 ~ 10:20 (10分)　バグバウンティの概要  10:20 ~ 10:30 (10分)　規約・ルールの把握  10:30 ~ 10:50 (20分)　初期調査編   10:50 ~ 11:00 (10分)　休憩 + 自習  11:00 ~ 11:40 (40分)　脆弱性調査編  11:40 ~ 11:45 (5分)　レポートの作成方法  11:45 ~ 11:50 (5分)　まとめ  11:50 ~ 12:00 (10分)　Q&A   

59  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける   主な調査の流れ
 

@scgajge12 バグバウンティにおける主な調査の流れ   全体的な調査の流れ (ドメインの場合)   1. バグバウンティプログラムを選ぶ  2. Scopeから調査対象を選ぶ  3. ドメイン (Web)を調査する  a. 初期調査 (Recon)  b. 脆弱性調査 (Research)  4. 脆弱性レポートを作成&提出する   

@scgajge12 バグバウンティにおける主な調査の流れ   全体的な調査の流れ (ドメインの場合)   1. バグバウンティプログラムを選ぶ  2. Scopeから調査対象を選ぶ  3. ドメイン (Web)を調査する  a. 初期調査 (Recon)   b. 脆弱性調査 (Research)   4. 脆弱性レポートを作成&提出する    ハンズオン (体験型学習 ) 　で一緒にやってみよう！

62  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける   調査前のタスク
 

@scgajge12 バグバウンティにおける調査前のタスク   [非公開]   • 座学 

64  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける   初期調査 

@scgajge12 バグバウンティにおける初期調査   [非公開]   • 座学 + ハンズオン(実習) 

@scgajge12 タイムテーブル (120分)   10:00 ~ 10:10 (10分)　前置き + 本題説明  10:10 ~ 10:20 (10分)　バグバウンティの概要  10:20 ~ 10:30 (10分)　規約・ルールの把握  10:30 ~ 10:50 (20分)　初期調査編  10:50 ~ 11:00 (10分)　休憩 + 自習   11:00 ~ 11:40 (40分)　脆弱性調査編  11:40 ~ 11:45 (5分)　レポートの作成方法  11:45 ~ 11:50 (5分)　まとめ  11:50 ~ 12:00 (10分)　Q&A   

@scgajge12 バグバウンティにおける初期調査   おまけ（時間があれば）   • 講師が実際にReconした際のリアルな結果を少し紹介する  ◦ ログファイル等   

@scgajge12 タイムテーブル (120分)   10:00 ~ 10:10 (10分)　前置き + 本題説明  10:10 ~ 10:20 (10分)　バグバウンティの概要  10:20 ~ 10:30 (10分)　規約・ルールの把握  10:30 ~ 10:50 (20分)　初期調査編  10:50 ~ 11:00 (10分)　休憩 + 自習  11:00 ~ 11:40 (40分)　脆弱性調査編   11:40 ~ 11:45 (5分)　レポートの作成方法  11:45 ~ 11:50 (5分)　まとめ  11:50 ~ 12:00 (10分)　Q&A   

69  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける   脆弱性の事例
 

@scgajge12 バグバウンティにおける脆弱性の事例   バグバウンティで扱われる脆弱性の特徴   • 対象内な脆弱性 (求められる脆弱性)   ◦ 現実的に脅威・危険度が想定できる脆弱性  ▪ 例：アカウントの乗っ取り, 機密情報の取得, 不正な操作, ...  • 対象外な脆弱性   ◦ 現実的に脅威・危険度があまり想定できない脆弱性  ▪ 例：重要でないCSRF, ユーザーやメールの列挙, Self XSS,   　　重要でないCookieにセキュアフラグ属性がない, ...   

@scgajge12 バグバウンティにおける脆弱性の事例   HackerOne Top 10 Vulnerabilities (2023)   1. Cross Site Scripting (XSS)  2. Improper Access Control (アクセス制御の不備)  3. Information Disclosure (情報開示)  4. Insecure Direct Object Reference (IDOR)  5. Privilege Escalation (権限昇格)  6. Misconfiguration (構成ミス)  7. Improper Authentication (認証の不備)  8. Business Logic Errors (ロジックの不備)  9. Open Redirect  10. Improper Authorization (認可の不備)  https://www.hackerone.com/reports/7th-annual-hacker-powered-security-report

@scgajge12 バグバウンティにおける脆弱性の事例   主な脆弱性のタイプ   • Active Vulnerability (能動的な脆弱性)   ◦ 攻撃者が直接操作することで脅威が生まれる脆弱性  ▪ 例：SQLi, IDOR, アクセス制御の不備, 情報開示, ...  • Passive Vulnerability (受動的な脆弱性)   ◦ 攻撃者が仕掛けた罠に対して被害者が操作することで  脅威が生まれる脆弱性  ▪ 例：XSS, CSRF, OpenR, ... 

@scgajge12 バグバウンティにおける脆弱性の事例   HackerOne Hacktivity (実際の脆弱性レポート)   https://hackerone.com/hacktivity/

@scgajge12 バグバウンティにおける脆弱性の事例   HackerOne Reports (Topまとめ)   https://github.com/reddelexc/hackerone-reports • Tops 100 • Tops by Bug Type • Tops by Program

@scgajge12 バグバウンティにおける脆弱性の事例   バグバウンティで扱われる脆弱性の特徴：まとめ   • 事例からリアルワールドでよくある脆弱性の種類を把握する  ◦ HackerOne Top 10 Vulnerabilities  ◦ OWASP Top 10, OWASP API Security Top 10  • 過去の脆弱性レポートから実際の脆弱性を把握する  ◦ HackerOne Hacktivity, hackerone-reports,   ◦ ブログ, X(Twitter)  ポイント

76  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける   脆弱性調査
 

@scgajge12 バグバウンティにおける脆弱性調査   [非公開]   • 座学 + ハンズオン(実習) 

78  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける   脆弱性のエスカレーション
 

@scgajge12 脆弱性のエスカレーション   [非公開]   • 座学 (資料のみでスキップ) 

@scgajge12 タイムテーブル (120分)   10:00 ~ 10:10 (10分)　前置き + 本題説明  10:10 ~ 10:20 (10分)　バグバウンティの概要  10:20 ~ 10:30 (10分)　規約・ルールの把握  10:30 ~ 10:50 (20分)　初期調査編  10:50 ~ 11:00 (10分)　休憩 + 自習  11:00 ~ 11:40 (40分)　脆弱性調査編  11:40 ~ 11:45 (5分)　レポートの作成方法   11:45 ~ 11:50 (5分)　まとめ  11:50 ~ 12:00 (10分)　Q&A   

81  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 バグバウンティにおける   脆弱性レポートの作成方法
 

@scgajge12 バグバウンティにおける脆弱性レポート   主な脆弱性レポートの項目   1. レポートのタイトル   a. 端的に脆弱性の指摘がイメージできる内容を記載する  2. スコープの選定   a. 対象のスコープを選ぶ  3. 危険度(深刻度)の設定   a. CVSSのスコアで設定する  4. 脆弱性の説明等   a. 概要, 再現方法, 脅威, 参考資料, などを記載する 

@scgajge12 バグバウンティにおける脆弱性レポート   紹介するの脆弱性レポートのテンプレート   プラットフォーム：IssueHunt  • テンプレート   ◦ https://issuehunt.io/programs/f2eab25e-6a83-4a6c-bc26-409316a40a55/su bmit      アクション・実際に開いて　確認してみよう　(紹介のみ)

@scgajge12 バグバウンティにおける脆弱性レポート   公式の「高品質な脆弱性レポートの特徴」とは   • 概要・再現手順   ◦ 脆弱性の概要を「明確」&「簡潔」に再現可能な手順を含む状態で説明する。  ◦ 脆弱性の検証や再現手順の補足とし、スクリーンショットや動画を添付する。  • 脅威・影響   ◦ 脆弱性によって、どういう脅威(リスク)に繋がるかの危険性の具体例を説明する。  ◦ 脆弱性の脅威に繋がる「想定しうる攻撃シナリオ」を記載する。    ポイント

@scgajge12 バグバウンティにおける脆弱性レポート   公式の「高品質な脆弱性レポートの特徴」とは   • HackerOne   ◦ Quality Reports  ▪ https://docs.hackerone.com/en/articles/8475116-quality-reports  • Bugcrowd   ◦ Writing a Good Bug Report  ▪ https://docs.bugcrowd.com/researchers/reporting-managing-submissions/reporting-a-bug/#writing-a -good-bug-report  • Intigriti   ◦ How to write and submit a good report  ▪ https://kb.intigriti.com/en/articles/5379086-how-to-write-and-submit-a-good-report 

@scgajge12 バグバウンティにおける脆弱性レポート   想定しうる攻撃シナリオ：例1   • NG: 推測や取得が困難な他のIDによるIDOR (認可不備)  ◦ 現実的ではないという判断で危険度(リスクレベル)が下がる傾向あり  • OK: 推測や取得が可能な他のIDによるIDOR (認可不備)  ◦ 現実的な脆弱性攻撃という判断になる       

@scgajge12 バグバウンティにおける脆弱性レポート   想定しうる攻撃シナリオ：例2   • NG: Self XSS  ◦ 被害者自身が任意のJSコードを実行させる必要がある → OoS  • OK: Self XSS + CSRF → RXSS (Reflected XSS)  ◦ 攻撃者が用意した悪意のあるページに被害者をアクセスさせ、  意図しない操作(Self XSS)を被害者のブラウザ上で実行させることで、  被害者になりすまして任意のJSコードを実行させられる。  ▪ 例：パスワードの変更, アカウントの乗っ取り, ...  最低限：「alert(location)」などでアラート実行を示すようにする   

@scgajge12 バグバウンティにおける脆弱性レポート   想定しうる攻撃シナリオ：例3   • NG: SSRF with Ping only to localhost  ◦ localhostに対してPingのみのSSRFは脅威としては認められない → OoS  • OK: SSRF leaks Confidential Information  ◦ localhostの別ポートや内部で動くサーバーに対してSSRFができる  ▪ 例：別ポートの管理者画面, AWSメタデータサービス     

@scgajge12 バグバウンティにおける脆弱性レポート   想定しうる攻撃シナリオ   • 脆弱性の証明において、「攻撃者」と「被害者」の立場を定める。  ◦ その上で、脆弱性の具体的な脅威を示すようにする。  • 現実的に、発生する可能性のある脆弱性攻撃かを示す。  ◦ 脆弱性を証明する際に攻撃条件(シナリオ) も示すようにする。  ▪ 攻撃条件が厳しすぎると危険度が下がる。  ポイント

@scgajge12 バグバウンティにおける脆弱性レポート   脆弱性レポートのトリアージ対応 (選別)   • 報告内容が有効なものか (脆弱性として認められるか)  ◦ 脆弱性として脅威(Impact)や危険度があるか  ◦ 再現方法によって脆弱性が再現されるか  ◦ 脆弱性がScope内でOoSに当てはまっていないか  • 重複した報告内容か  ◦ 既に報告されている脆弱性か 

@scgajge12 バグバウンティにおける脆弱性レポート   脆弱性の危険度(深刻度)   • 一般的には「CVSS」で評価される (Low, Medium, High, Critical)  CVSS (Common Vulnerability Scoring System, 　　　　　　　　　　　　共通脆弱性評価システム )

@scgajge12 バグバウンティにおける脆弱性レポート   CVSSスコアの範囲   危険度レベルスコア範囲 None 0.0 Low 0.1　〜　3.9 Medium 4.0　〜　6.9 High 7.0　〜　8.9 Critical 9.0　〜　10.0

@scgajge12 バグバウンティにおける脆弱性レポート   脆弱性の危険度(深刻度)：例   • Reflected XSS ：一般的な反射型XSS  ◦ CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N → 5.4 Medium   • Stored XSS：一般的な蓄積型XSS  ◦ CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N → 6.5 Medium   • Reflected XSS to ATO：XSSによる一般アカウントの乗っ取り  ◦ CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N → 7.1 High   • Stored XSS to ATO：XSSによる管理者アカウントの乗っ取り  ◦ CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N → 9.1 Critical   脆弱性の状態によって評価にとても変動あり

@scgajge12 バグバウンティにおける脆弱性レポート   脆弱性レポートの作成方法：まとめ   • 「高品質な脆弱性レポートの特徴」を踏まえて作成する  ◦ 明確&簡潔, スクリーンショットや動画, 危険性の具体例 , 想定しうる攻撃シナリオ   • 実際の脆弱性レポート(Hacktivity)を参考にする  ◦ (質が良いもの悪いものと色々あります)  • 脆弱性を証明する上で攻撃条件や脅威を正しく示すようにする  ポイント

@scgajge12 タイムテーブル (120分)   10:00 ~ 10:10 (10分)　前置き + 本題説明  10:10 ~ 10:20 (10分)　バグバウンティの概要  10:20 ~ 10:30 (10分)　規約・ルールの把握  10:30 ~ 10:50 (20分)　初期調査編  10:50 ~ 11:00 (10分)　休憩 + 自習  11:00 ~ 11:40 (40分)　脆弱性調査編  11:40 ~ 11:45 (5分)　レポートの作成方法  11:45 ~ 11:50 (5分)　まとめ   11:50 ~ 12:00 (10分)　Q&A    

96  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 まとめ 

@scgajge12 本講座の概要 (定義)   『実践的なバグバウンティ入門』   本講座では、バグバウンティにおける初期調査や脆弱性調査などの方法を  ハンズオン形式で実施します。   特にバグハンターとしての視点で、実際のバグバウンティの対象に対して   どういう情報収集をしたり、どういう観点で脆弱性調査をするかなどの   ポイントを押さえながら、一緒に体験していただきます。   また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に  限定して、Webセキュリティの要素のみを取り扱います。  https://issuehunt.jp/events/2024/summer/p3nfest

@scgajge12 本講座のポイント (ゴール)   １. バグバウンティの概要２. ドメイン(Web)に対する初期調査の方法３. ドメイン(Web)に対する脆弱性調査の方法バグバウンティの特長を知る • CTFやHTBとのアプローチの違い

@scgajge12 バグバウンティ入門   バグバウンティに取り組む上で大事なこと   • バグバウンティは基本的に「長期戦」である  ◦ 「継続的な取り組み」が大切  • 脆弱性に対して好奇心や探究心を持って調査すること  ◦ 根気よく探し続ける, 検証し続ける, 調査を楽しむ  • 常にインプットとアウトプット(実践) を繰り返すこと  ◦ インプット：知見, テクニック, 事例  ◦ アウトプット：調査, 検証  ポイント

@scgajge12 バグバウンティ入門   バグバウンティの醍醐味 (個人の感想)   • 許可の上でリアルワールドのサービスに対して脆弱性を探して良い点  ◦ 規約の範囲内で実際の脅威を示せるところまで深ぼって調査や検証をして良い点  ◦ 好きな時間に探したいプログラムの対象に対して取り組める点  ◦ 事業者や利用者へのセキュリティ貢献に繋がる点 (世の中のためになる点)  • 他の人がまだ見つけていない脆弱性を見つけられるかの実力勝負な点   • 対価として報酬金やプラットフォーム内のポイント(評価)が貰える点  ◦ 対外的に成果が実績となる点 

@scgajge12 バグバウンティ入門   バグバウンティに取り組むことで得られること   • 経験  ◦ 実際の脆弱性を探す経験  • 実績  ◦ 実際に脆弱性を見つけた実績  • お金  ◦ 対価としての報酬金  

@scgajge12 バグバウンティ入門   バグバウンティに取り組むことで得られること   • 経験  ◦ 実際の脆弱性を探す経験　　　　→ 脆弱性診断, PT, 保守   • 実績  ◦ 実際に脆弱性を見つけた実績　　→ 就活, キャリアアップ   • お金  ◦ 対価としての報酬金　　　　　　→ モチベーション, 収入 

@scgajge12 バグバウンティ入門   おすすめのロードマップ (個人の意見)   1. 脆弱性の概要や仕組みを学ぶ  a. Web Security Academy, PentesterLab, TryHackMe  2. 実際の脆弱性の事例や観点を知る  a. Hacktivity, CVE,   3. 各調査(Recon, Research)のアプローチ方法を知る  a. ブログ, YouTube, X(Twitter), コミュニティ, 自己研究   4. バグバウンティ(VDP, BBP)にチャレンジ！   a. IssueHunt, 3大プラットフォーム  ポイント

@scgajge12 バグバウンティ入門   おすすめの学習コンテンツ (Webセキュリティ)   • Web Security Academy (無料)  ◦ https://portswigger.net/web-security  • PentesterLab (有料)  ◦ https://pentesterlab.com/  • TryHackMe (無料)  ◦ https://tryhackme.com/  ▪ Learning Paths：Web Fundamentals  ▪ Rooms：NahamStore   

@scgajge12 IssueHunt「学生限定バグバウンティイベント」   https://issuehunt.jp/events/2024/summer/p3nfestbugbounty イベント期間・9/2〜9/30

@scgajge12 ブログ「バグバウンティ入門(始め方)」       https://scgajge12.hatenablog.com/entry/bugbounty_beginner

@scgajge12 ブログ：バグバウンティ系の記事   blog of morioka12   1. 2023-09-25：バグバウンティ入門 (始め方)  2. 2023-10-25：バグバウンティにおけるBug Bounty Hunter の実態調査まとめ  3. 2023-12-04：バグバウンティで使えるおすすめの Burp Extensions 10選  4. 2023-12-05：バグバウンティで使えるおすすめのツール10選  5. 2023-12-06：バグバウンティにおける JavaScript の静的解析と動的解析まとめ  6. 2023-12-07：バグバウンティで使えるおすすめのブラウザ拡張機能 10選  7. 2023-12-12：バグバウンティにおける Critical な脆弱性報告の事例まとめ  8. 2023-12-13：バグバウンティにおけるモバイルアプリの脆弱性報告の事例まとめ  9. 2023-12-27：バグバウンティにおける人気脆弱性報告 Top 10 (2023年版)  10. 2024-01-17：バグバウンティにおける XSS の具体的な脅威の事例まとめ  11. 2024-07-29：バグバウンティにおけるおすすめの学習コンテンツまとめ(YouTube 編) 

108  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 質疑応答 (Q&A)  
11:50 ~ 12:00 (10分) 残り時間でなんでもお答えします！ (夕方の懇親会でも可 )

@scgajge12 連絡先 (相談・依頼)   森岡(morioka12)への連絡先   • X (Twitter)   ◦ @scgajge12  • Discord   ◦ scgajge12  • メールアドレス   ◦ [email protected]  https://scgajge12.github.io/

110  PUBLIC   P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 ご清聴ありがとうございました！   Let’s
enjoy Bug Bounty Hunting ! @scgajge12

実践的なバグバウンティ入門

実践的なバグバウンティ入門

More Decks by morioka12

Other Decks in Technology

Featured

Transcript