Upgrade to Pro — share decks privately, control downloads, hide ads and more …

実践的なバグバウンティ入門

morioka12
August 31, 2024

 実践的なバグバウンティ入門

P3NFEST 2024 Summerで行われたハンズオン講座の一般公開用スライドです。
- https://issuehunt.jp/events/2024/summer/p3nfest
※ Speaker Deck上だと太文字が滲むため、手元にダウンロードして直接PDFを見ると鮮明に閲覧することができます。

ハンズオン講座の開催記ブログ
- https://scgajge12.hatenablog.com/entry/p3nfest_2024_summer_bugbounty

morioka12

August 31, 2024
Tweet

More Decks by morioka12

Other Decks in Technology

Transcript

  1. 1
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 2024年8月31日(土)10:00 〜 12:00


    実践的なバグバウンティ入門 
 P3NFEST 2024 Summer 森岡 優太 (@scgajge12)
 ハンズオン講座
  2. 2
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 本講座の注意点 
 注意・免責事項 
 • 本資料は、発表者の個人的な見解に基づいて作成されており、 
 所属組織の見解を代表するものではありません。 
 • 本資料は、セキュリティに関する知見を広く共有する目的で 
 作成されており、悪用行為を推奨するものではありません。 
 • 本資料は、非公開とします。( 外部公開禁止 ) [公開用(非公開部分あり)] 
 ◦ SNSで感想等をつぶやくことは可とします。 
 ▪ ハッシュタグ: #P3NFEST
 ・完全版: 192ページ ・公開版: 110ページ
  3. 4
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 自己紹介「森岡 優太(もりおか ゆうた)」 
 ▪略歴
 神奈川県 出身・在住
 2024年4月〜 GMOサイバーセキュリティ byイエラエ株式会社
                        新卒 セキュリティエンジニア
 ▪サブ情報 
 学生時代から数社でWebやクラウドなどの脆弱性診断等の業務を経験し、
 現在は所属企業でWebペネトレーションテスト やソースコード診断等の業務に従事する。 
 外部活動では、サイバーセキュリティに関する登壇や講師、執筆などに取り組み、 
 プライベートでもバグバウンティで脆弱性探しに取り組んでいる。 
    AWS Community Builder (Security & Identity Builder since 2024) 
 
           現役のバグハンター! 
 @scgajge12 https://scgajge12.github.io/ 直近のイベント ・6月:セキュリティミニキャンプ 講師 ・7月:ISC2 Japan Chapter 登壇 ・7月:Hack Fes. 2024 講師
  4. 5
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 Webペネトレーションテスト (WebPT) 
 https://gmo-cybersecurity.com/service/assessment/pentest/
  5. 6
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 2024年2月「P3NFEST Conf 2024」登壇 
 https://x.com/securesky_tech/status/1759417079755919628
  6. 7
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 インタビュー取材「レバテックLAB」 
 バグバウンティに取り組む理由とその醍醐味 
 https://levtech.jp/media/article/interview/detail_466/
  7. 8
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 直近のバグバウンティ実績 (2024年,学生時代) 
 欧州 No1 バグバウンティプラットフォーム「Intigriti」 
 • 2024年 Q1 (1~3月) 
 ◦ ランキング:17位 受賞 (20位以内)
 ◦ 脆弱性認定(Accept):31件
 • 2024年 2月 
 ◦ ランキング:6位
 ◦ 脆弱性認定(Accept):25件
 https://scgajge12.hatenablog.com/entry/intigriti_q1_2024
  8. 9
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 ポッドキャスト「Bug Bounty JP Podcast」 
 https://bugbountyjppodcast.notion.site/Bug-Bounty-JP-Podcast-8bf1080383a54c4a8848f10bfeb874b3 Discord コミュニティサーバーを開設しました!
  9. 11
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 本イベントの概要 
 P3NFEST(ペンフェスト) 
 • 学生のためのサイバーセキュリティカンファレンス (主催:IssueHunt) 
 ◦ 第1回:2024年2月17日 P3NFEST Conf 2024
 ◦ 第2回:2024年8月31日 P3NFEST 2024 Summer(今回)
 • 豪華登壇者による講演や脆弱性診断入門等のハンズオン講座を提供。
 現地参加学生に交通費を支給!
 • 日本国内の学生に対してカンファレンスやバグバウンティを通じて
 「様々なセキュリティキャリア」をより身近なものとするべく、開催。
 https://issuehunt.jp/events/2024/summer/p3nfest
  10. 12
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 Q. 質問
 1. バグバウンティを元々知っていた人? 
 2. バグバウンティに取り組んだことある人? 

  11. 13
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 本講座の概要 (定義) 
 『実践的なバグバウンティ入門』 
 本講座では、バグバウンティにおける初期調査や脆弱性調査などの方法 を
 ハンズオン形式で実施します。 
 特にバグハンターとしての視点 で、実際のバグバウンティの対象に対して 
 どういう情報収集をしたり、どういう観点で脆弱性調査をするかなどの 
 ポイントを押さえながら 、一緒に体験していただきます。 
 また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に
 限定して、Webセキュリティの要素のみを取り扱います。
 https://issuehunt.jp/events/2024/summer/p3nfest
  12. 14
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 本講座のポイント (ゴール) 
 1. バグバウンティの概要 2. ドメイン(Web)に対する初期調査の方法 3. ドメイン(Web)に対する脆弱性調査の方法
  13. 15
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 本講座のポイント (ゴール) 
 1. バグバウンティの概要 2. ドメイン(Web)に対する初期調査の方法 3. ドメイン(Web)に対する脆弱性調査の方法 バグバウンティの特長を知る • CTFやHTBとのアプローチの違い
  14. 16
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 本講座の視点 
 全体的に話すこと 
 • ⚪ 取り上げる 
 ◦ バグバウンティで脆弱性を探す側の視点 (バグハンター) 
 ◦ 対象:ドメイン(WebサイトやWebアプリケーション)
 ◦ レベル感:入門者向けの話 
 • × 取り上げない 
 ◦ バグバウンティを導入する企業側の視点 (事業者) 
 ◦ 対象:スマホアプリ, デスクトップアプリ, ソフトウェア, ソースコード 
 ◦ レベル感:中堅者以上の話 

  15. 17
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明 
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A

  16. 18
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要 
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A
 

  17. 20
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ (Bug Bounty) 
 バグバウンティ / 脆弱性報奨金制度 
 • 許可されたリアルワールドのサービスに対して脆弱性を調査し、
 発見して報告された脆弱性に対して報奨金が支払われる制度のこと。
 

  18. 21
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ (Bug Bounty) 
 バグバウンティプラットフォーム 
 • バグバウンティを導入したい企業と脆弱性を探すバグハンターを
 仲介して、運営するプラットフォームのこと。
 バグハンター 導入企業 仲介役 (トリアージ )
  19. 22
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ (Bug Bounty) 
 3大バグバウンティプラットフォーム 
 

  20. 23
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ (Bug Bounty) 
 日本国内最大バグバウンティプラットフォーム「IssueHunt」 
 
 https://issuehunt.jp/bugbounty
  21. 24
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ (Bug Bounty) 
 バグバウンティを導入している日系企業:例 
 HackerOne 
 • ピクシブ
 • LINEヤフー
 • トヨタ自動車
 • ソニーグループ
 • 〜 海外 〜
 ◦ Uber, スターバックス
 ◦ Netflix, Spotify, Yahoo
 ◦ X , PayPal, Slack
 ◦ アメリカ合衆国国防総省
 IssueHunt 
 • LINE WORKS
 • コインチェック
 • 楽天グループ
 • エニグモ
 • 日本経済新聞社
 • Finatextホールディングス
 • ヌーラボ
 • kubell (旧Chatwork)
 • ビットバンク

  22. 25
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ (Bug Bounty) 
 バグバウンティプログラムの種類 
 • BBP (Bug Bounty Program) 
 ◦ 脆弱性レポートに対して危険度に合わせて報酬金が支払われる 
 • VDP (Vulnerability Disclosure Program) 
 ◦ 脆弱性報告窓口の役割なプログラム
 ◦ 脆弱性レポートに対して報酬金が支払われない 
 ▪ プログラムによっては企業の限定グッズ(Swag)を提供したりする
 ▪ BBPに比べてバグハンターの競争率が低い傾向あり 

  23. 26
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ (Bug Bounty) 
 プログラムのタイプ 
 • パブリックプログラム 
 ◦ 誰でも取り組むことが可能なプログラム
 • プライベートプログラム 
 ◦ 一部の招待された者のみ 取り組むことが可能なプログラム
 ▪ ライバルとなるバグハンター がパブリックプログラムより少ない

  24. 27
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ (Bug Bounty) 
 バグバウンティの特徴 
   「報酬金」 が各脆弱性の第一報告者にのみ 支払われる点
 
 脆弱性レポートの判定 (トリアージ) 
 • Accept :第一報告で脆弱性認定 (報酬金あり)
 • Duplicate :既に報告されている重複な脆弱性報告 (報酬金なし)
 • Informative :参考情報程度の報告 (許容内なリスク)

  25. 28
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ (Bug Bounty) 
 プラットフォームにおけるランキング制度 (Leaderboard) 
 • バグハンターの活動を評価して可視化された仕組み 
 ◦ ランキングの要素
 ▪ 発見した脆弱性の数や危険度, 報告の質, 活動の頻度
 ◦ ランキングの種類
 ▪ 総合ランキング(全期間), 期間別ランキング(月間, 四半期, 年間)
 ◦ ランキングのメリット
 ▪ モチベーションの向上, スキルアップ, 認知度の向上, 評価軸
 

  26. 30
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 Bug Bounty Hunter 
 脆弱性を探して報告する者 
 • バグハンター (Bug Hunter) 
 ◦ 脆弱性を探して報告する人のこと。
 • バグバウンティハンター (Bug Bounty Hunter) 
 ◦ バグバウンティプログラムを対象に脆弱性を探し、
 報告することで報酬金を獲得する人のこと。
 ▪ バグバウンティを本業にしている人:Full-time Bug Bounty Hunter
       本講座では統一して「バグハンター」と称します。 

  27. 31
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 Bug Bounty Hunter 
 [調査結果] 
 バグバウンティで脆弱性を探す動機 
 1. 挑戦するため (チャレンジ, 腕試し)
 2. お金を稼ぐため 
 3. 知見やテクニックを習得するため 
 
 
             (HackerOneより)

  28. 32
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 ブログ「Bug Bounty Hunterの実態調査まとめ」 
 https://scgajge12.hatenablog.com/entry/bug_bounty_hunter_report
  29. 33
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ業界 (プラットフォーム版) 
 一般的なバグハンターのレベル感 (総額) 
 1. 初心者レベル 
 a. 0ドル〜500ドルの獲得 (目安:0円〜10万円)
 2. 初級者レベル 
 a. 500ドル〜1,000ドルの獲得 (目安:10万円〜15万円)
 3. 中級者レベル 
 a. 1,000ドル〜10,000ドルの獲得 (目安:15万円〜150万円)
 4. 上級者レベル 
 a. 10,000ドル〜100,000ドルの獲得 (目安:150万円〜1500万円)
 5. プロレベル 
 a. 100,000ドル以上の獲得 (目安:1500万円以上)

  30. 34
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ業界 (プラットフォーム版) 
 一般的なバグハンターのレベル感 (総額) 
 1. 初心者レベル 
 a. 0ドル〜500ドルの獲得 (目安:0円〜10万円)
 2. 初級者レベル 
 a. 500ドル〜1,000ドルの獲得 (目安:10万円〜15万円)
 3. 中級者レベル 
 a. 1,000ドル〜10,000ドルの獲得 (目安:15万円〜150万円)
 4. 上級者レベル 
 a. 10,000ドル〜100,000ドルの獲得 (目安:150万円〜1500万円)
 5. プロレベル 
 a. 100,000ドル以上の獲得 (目安:1500万円以上)
 ちなみに「達人レベル」は ... • 100万ドル以上 (1億円以上) ◦ 現在 HackerOne 29人 ▪ (4億円以上獲得してる人もいる)
  31. 35
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ業界 (プラットフォーム版) 
 有名記事「初の100万ドル稼いだバグハンター(2019)」の要約 
 • HackerOneで初めて総額100万ドルを稼いだ19歳の男性 (アルゼンチン人)
 ◦ 取り組み期間:2016年〜2019年
 ◦ 報告件数:1,670件
 • 2015年の16歳から独学でサイバーセキュリティの勉強を始めた
 • 2016年の17歳の時に見つけたCSRFで初めて50ドルの報酬金を獲得した
 • 1件の最大報酬金額はSSRFで9,000ドル の報酬金を獲得した
 • https://hackerone.com/try_to_hack
 
 
 https://www.hackerone.com/company-news/trytohack-makes-history-first-bug-bounty-hacker-earn-over-1-million
  32. 36
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ業界 (プラットフォーム版) 
 個人的な「初心者レベル」のレベル感 (始めの目標値) 
 1. レベル1
 a. VDPで5件ほど脆弱性を報告する (Accept, Duplicate)
 2. レベル2
 a. BBPで1件の報酬金を獲得する (Accept)
 3. レベル3
 a. BBPで3件ほど報酬金を獲得する (Accept) 
 4. 脱「初心者レベル」「初級者レベル」 

  33. 37
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ業界 (プラットフォーム版) 
 バグバウンティプログラムの選び方 (個人の意見) 
 1. パブリックプログラム × VDP
 2. プライベートプログラム × VDP
 3. プライベートプログラム × BBP
 4. パブリックプログラム × BBP
 初心者におすすめ 慣れた方におすすめ 特徴:  報酬金額が高いプログラムは中級者以上の方が多く取り組んでいる                           (競争率が高い傾向あり)
  34. 38
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ (Bug Bounty) 
 バグバウンティの醍醐味 (個人の感想) 
 • 許可の上でリアルワールドのサービス に対して脆弱性を探して良い点
 ◦ 規約の範囲内で実際の脅威 を示せるところまで深ぼって調査や検証をして良い点
 ◦ 好きな時間 に探したいプログラムの対象 に対して取り組める点
 ◦ 事業者や利用者へのセキュリティ貢献に繋がる点 (世の中のためになる点)
 • 他の人がまだ見つけていない脆弱性を見つけられるかの実力勝負な点 
 • 対価として報酬金やプラットフォーム内のポイント(評価)が貰える点
 ◦ 対外的に成果が実績となる点
 ポイント
  35. 39
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握 
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A
 

  36. 41
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティプラットフォームの規約 
 行動規範 (Code of Conduct, CoC) 
 • プラットフォームにおいて、
 バグハンターが守るべき行動の基準やルールを定めたもの 。
 ◦ 倫理、道徳、法律、社会規範、価値観などに基づいて作成されている。
 
       大前提として取り組む上でとても大切なこと! 

  37. 42
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティプラットフォームの規約 
 行動規範 (Code of Conduct, CoC):一部記載 
 • 非専門的な行為 (Unprofessional Behavior) 
 ◦ プラットフォーム上でのやり取りは、
 常に敬意を持って、プロフェッショナルな態度と口調で行うようにしてください。
 • サービスの低下/安全でないテスト (Service Degradation/Unsafe Testing) 
 ◦ バグハンターは、事前に許可なく安全でないテストを実行してはいけません。
 ▪ 例:顧客の内部情報に過剰にアクセスする, 実際のデータベースを抽出する, ...
 ◦ 各プログラムのテストポリシーを要確認すること。
 https://www.hackerone.com/policies/code-of-conduct
  38. 43
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティプラットフォームの規約 
 行動規範 (Code of Conduct, CoC):一部記載 
 • 不正開示 - プライベートプログラム (Unauthorized Disclosure) 
 ◦ 各プライベートプログラムの存在を公開してはいけません。
 • 協調されていない脆弱性開示 - 公開プログラム 
               (Uncoordinated Vulnerability Disclosure) 
 ◦ 許可なく脆弱性に関する情報を開示してはいけません。
 • ソーシャルエンジニアリング (Social Engineering) 
 ◦ 許可なく他人になりすまして、ソーシャルエンジニアリングをしてはいけません。
 https://www.hackerone.com/policies/code-of-conduct
  39. 44
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティプラットフォームの規約 
 行動規範 (Code of Conduct, CoC):一部記載 
 • 違法または偽装ソフトウェアの使用 (Using illegal or counterfeit software) 
 ◦ バグハンターが使用するツールについて単独で責任を負ってください。
 ◦ 違法または偽造ソフトウェアのツールが禁止されています。
 • 恐喝/脅迫 (Extortion/Blackmail) 
 ◦ 強制によって賞金・金銭、またはサービスを得ようとしてはいけません。
 ◦ 個々の恐喝または脅迫は、深刻度に応じてエスカレートされ、
 刑事犯罪に相当する場合があります。
 https://www.hackerone.com/policies/code-of-conduct
  40. 45
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティプラットフォームの規約 
 行動規範 (Code of Conduct, CoC):まとめ 
 • 倫理的な脆弱性調査 
 ◦ 脆弱性の発見を目的として、許可された範囲内でのみ調査や検証をすること。
 ◦ 発見した脆弱性を悪用したり、データを盗んだり、許可なく公開してはいけない。
 ◦ 各バグバウンティプログラムの規約やルールに従うこと。
 • プロフェッショナルな行動 
 ◦ 企業とのコミュニケーションを尊重し、丁寧かつ建設的な態度で接すること。
 ◦ バグバウンティプログラムのルールや規約を遵守すること。
 ◦ 報酬金目当てに走らず、セキュリティ向上に貢献することを意識すること。
 ポイント
  41. 47
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティプログラムの規約 
 紹介するパブリックプログラム:例 
 プラットフォーム:IssueHunt
 • Rakuten Group, Inc. (VDP)
 ◦ https://issuehunt.io/programs/rakuten-vdp
 • LINE WORKS (BBP)
 ◦ https://issuehunt.io/programs/d7c3def6-9500-469d-b114-e5dd71d39621
 
 
 アクション ・実際に開いて  確認してみよう  (紹介のみ)
  42. 48
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティプログラムの規約 
 プログラムの主な概要 
 • プログラムの概要
 • 対象範囲 (Scope)
 • 対象外 (Out of Scope, OoS)
 ◦ 対象外の範囲
 ◦ 対象外の脆弱性
 • 注意事項・禁止行為
 

  43. 49
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティプログラムの規約 
 対象範囲 (Scope) 
 • 許可された 調査対象を明確に示したもの 
 • スコープ定義の例 (Webの場合)
 ◦ ドメイン:「example.com」 
 ▪ 例:https://example.com/login , https://example.com/search 
 ◦ サブドメイン入り:「*.example.com」 
 ▪ 例:https://www2. example.com/login, https://open. example.com/search
 ◦ 特定のパス以下のみ:「example.com/api/*」 
 ▪ 例:https://www.example.com/api/search , https://www.example.com/api/token 
 

  44. 50
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティプログラムの規約 
 対象範囲 (Scope):例1 
 
 
 

  45. 51
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティプログラムの規約 
 対象範囲 (Scope):例2 
 
 
 

  46. 52
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティプログラムの規約 
 対象外 (Out of Scope,OoS) 
 • 禁止された 調査対象や脆弱性を明確に示したもの 
 • 対象外の例
 ◦ 実際の検証コードのない、仮説的または理論的な脆弱性
 ◦ 当社サービスの中断につながる可能性のあるサーバーサイドDoS攻撃
 ◦ 任意のユーザーにスパムメッセージを送信する機能
 ◦ 重要でない機能におけるCSRFトークンの不在
 ◦ 古いブラウザやプラットフォームに起因する脆弱性
 ◦ ユーザー名/電子メールの列挙のみ

  47. 56
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティプログラムの規約 
 その他:例 
 • ツールに関して「リクエスト間隔の制限」を設ける
 • HTTPリクエストに指定された「任意のヘッダー」を付与する
 • 資格要件
 ◦ 当社または関連会社の現従業員ではないこと。
 ◦ 16歳以上であること。

  48. 57
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティプログラムの規約 
 特に大事な注意点 
 • 許可された調査範囲(Scope,OoS)を必ず守ること 
 ◦ 反すると「不正アクセス行為の禁止等に関する法律」に該当する可能性がある
 ▪ > 当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。
 • 禁止行為や注意事項を必ず守ること 
 ◦ プライバシー侵害, データの破壊, 認証情報の総当たり攻撃, など
 ◦ 自ら保持していないアカウントとやりとりする行為 (実際の顧客情報の取得行為)
 ▪ 正しい例) 認可の検証をする際は、アカウントを2つ用意して、保持するアカウント同士で
 検証する。
  → バグバウンティの対象は基本的に「リアルワールドで稼働中のサービス」である 点
 ポイント
  49. 58
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編 
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A
 

  50. 60
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける主な調査の流れ 
 全体的な調査の流れ (ドメインの場合) 
 1. バグバウンティプログラムを選ぶ
 2. Scopeから調査対象を選ぶ
 3. ドメイン (Web)を調査する
 a. 初期調査 (Recon)
 b. 脆弱性調査 (Research)
 4. 脆弱性レポートを作成&提出する
 

  51. 61
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける主な調査の流れ 
 全体的な調査の流れ (ドメインの場合) 
 1. バグバウンティプログラムを選ぶ
 2. Scopeから調査対象を選ぶ
 3. ドメイン (Web)を調査する
 a. 初期調査 (Recon) 
 b. 脆弱性調査 (Research) 
 4. 脆弱性レポートを作成&提出する
 
 ハンズオン (体験型学習 )  で一緒にやってみよう!
  52. 65
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける初期調査 
 [非公開] 
 • 座学 + ハンズオン(実習)

  53. 66
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習 
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A
 

  54. 67
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける初期調査 
 おまけ(時間があれば) 
 • 講師が実際にReconした際のリアルな結果を少し紹介する
 ◦ ログファイル等
 

  55. 68
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編 
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A
 

  56. 70
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性の事例 
 バグバウンティで扱われる脆弱性の特徴 
 • 対象内な脆弱性 (求められる脆弱性) 
 ◦ 現実的に脅威・危険度が想定できる脆弱性
 ▪ 例:アカウントの乗っ取り, 機密情報の取得, 不正な操作, ...
 • 対象外な脆弱性 
 ◦ 現実的に脅威・危険度があまり想定できない脆弱性
 ▪ 例:重要でないCSRF, ユーザーやメールの列挙, Self XSS, 
   重要でないCookieにセキュアフラグ属性がない, ...
 

  57. 71
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性の事例 
 HackerOne Top 10 Vulnerabilities (2023) 
 1. Cross Site Scripting (XSS)
 2. Improper Access Control (アクセス制御の不備)
 3. Information Disclosure (情報開示)
 4. Insecure Direct Object Reference (IDOR)
 5. Privilege Escalation (権限昇格)
 6. Misconfiguration (構成ミス)
 7. Improper Authentication (認証の不備)
 8. Business Logic Errors (ロジックの不備)
 9. Open Redirect
 10. Improper Authorization (認可の不備)
 https://www.hackerone.com/reports/7th-annual-hacker-powered-security-report
  58. 72
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性の事例 
 主な脆弱性のタイプ 
 • Active Vulnerability (能動的な脆弱性) 
 ◦ 攻撃者が直接操作することで脅威が生まれる脆弱性
 ▪ 例:SQLi, IDOR, アクセス制御の不備, 情報開示, ...
 • Passive Vulnerability (受動的な脆弱性) 
 ◦ 攻撃者が仕掛けた罠に対して被害者が操作することで
 脅威が生まれる脆弱性
 ▪ 例:XSS, CSRF, OpenR, ...

  59. 73
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性の事例 
 HackerOne Hacktivity (実際の脆弱性レポート) 
 https://hackerone.com/hacktivity/
  60. 74
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性の事例 
 HackerOne Reports (Topまとめ) 
 https://github.com/reddelexc/hackerone-reports • Tops 100 • Tops by Bug Type • Tops by Program
  61. 75
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性の事例 
 バグバウンティで扱われる脆弱性の特徴:まとめ 
 • 事例からリアルワールドでよくある脆弱性 の種類を把握する
 ◦ HackerOne Top 10 Vulnerabilities
 ◦ OWASP Top 10, OWASP API Security Top 10
 • 過去の脆弱性レポートから実際の脆弱性 を把握する
 ◦ HackerOne Hacktivity, hackerone-reports, 
 ◦ ブログ, X(Twitter)
 ポイント
  62. 77
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性調査 
 [非公開] 
 • 座学 + ハンズオン(実習)

  63. 79
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 脆弱性のエスカレーション 
 [非公開] 
 • 座学 (資料のみでスキップ)

  64. 80
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法 
 11:45 ~ 11:50 (5分)  まとめ
 11:50 ~ 12:00 (10分) Q&A
 

  65. 82
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性レポート 
 主な脆弱性レポートの項目 
 1. レポートのタイトル 
 a. 端的に脆弱性の指摘がイメージできる内容を記載する
 2. スコープの選定 
 a. 対象のスコープを選ぶ
 3. 危険度(深刻度)の設定 
 a. CVSSのスコアで設定する
 4. 脆弱性の説明等 
 a. 概要, 再現方法, 脅威, 参考資料, などを記載する

  66. 83
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性レポート 
 紹介するの脆弱性レポートのテンプレート 
 プラットフォーム:IssueHunt
 • テンプレート 
 ◦ https://issuehunt.io/programs/f2eab25e-6a83-4a6c-bc26-409316a40a55/su bmit
 
 
 アクション ・実際に開いて  確認してみよう  (紹介のみ)
  67. 84
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性レポート 
 公式の「高品質な脆弱性レポートの特徴」とは 
 • 概要・再現手順 
 ◦ 脆弱性の概要を「明確」&「簡潔」に再現可能な手順を含む状態で説明する。
 ◦ 脆弱性の検証や再現手順の補足とし、スクリーンショット や動画を添付する。
 • 脅威・影響 
 ◦ 脆弱性によって、どういう脅威(リスク)に繋がるかの危険性の具体例 を説明する。
 ◦ 脆弱性の脅威に繋がる「想定しうる攻撃シナリオ 」を記載する。
 
 ポイント
  68. 85
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性レポート 
 公式の「高品質な脆弱性レポートの特徴」とは 
 • HackerOne 
 ◦ Quality Reports
 ▪ https://docs.hackerone.com/en/articles/8475116-quality-reports
 • Bugcrowd 
 ◦ Writing a Good Bug Report
 ▪ https://docs.bugcrowd.com/researchers/reporting-managing-submissions/reporting-a-bug/#writing-a -good-bug-report
 • Intigriti 
 ◦ How to write and submit a good report
 ▪ https://kb.intigriti.com/en/articles/5379086-how-to-write-and-submit-a-good-report

  69. 86
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性レポート 
 想定しうる攻撃シナリオ:例1 
 • NG: 推測や取得が困難な他のIDによるIDOR (認可不備)
 ◦ 現実的ではないという判断で危険度(リスクレベル)が下がる傾向あり
 • OK: 推測や取得が可能な他のIDによるIDOR (認可不備)
 ◦ 現実的な脆弱性攻撃という判断になる
 
 
 

  70. 87
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性レポート 
 想定しうる攻撃シナリオ:例2 
 • NG: Self XSS
 ◦ 被害者自身が任意のJSコードを実行させる必要がある → OoS
 • OK: Self XSS + CSRF → RXSS (Reflected XSS)
 ◦ 攻撃者が用意した悪意のあるページに被害者をアクセスさせ、
 意図しない操作(Self XSS)を被害者のブラウザ上で実行させることで、
 被害者になりすまして任意のJSコードを実行させられる。
 ▪ 例:パスワードの変更, アカウントの乗っ取り, ...
 最低限:「alert(location)」などでアラート実行を示すようにする
 

  71. 88
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性レポート 
 想定しうる攻撃シナリオ:例3 
 • NG: SSRF with Ping only to localhost
 ◦ localhostに対してPingのみのSSRFは脅威としては認められない → OoS
 • OK: SSRF leaks Confidential Information
 ◦ localhostの別ポートや内部で動くサーバーに対してSSRFができる
 ▪ 例:別ポートの管理者画面, AWSメタデータサービス
 
 

  72. 89
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性レポート 
 想定しうる攻撃シナリオ 
 • 脆弱性の証明において、「攻撃者」と「被害者」の立場を定める。
 ◦ その上で、脆弱性の具体的な脅威を示すようにする。
 • 現実的に、発生する可能性のある脆弱性攻撃かを示す。
 ◦ 脆弱性を証明する際に攻撃条件(シナリオ) も示すようにする。
 ▪ 攻撃条件が厳しすぎると危険度が下がる。
 ポイント
  73. 90
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性レポート 
 脆弱性レポートのトリアージ対応 (選別) 
 • 報告内容が有効なものか (脆弱性として認められるか)
 ◦ 脆弱性として脅威(Impact)や危険度があるか
 ◦ 再現方法によって脆弱性が再現されるか
 ◦ 脆弱性がScope内でOoSに当てはまっていないか
 • 重複した報告内容か
 ◦ 既に報告されている脆弱性か

  74. 91
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性レポート 
 脆弱性の危険度(深刻度) 
 • 一般的には「CVSS」で評価される (Low, Medium, High, Critical)
 CVSS (Common Vulnerability Scoring System,             共通脆弱性評価システム )
  75. 92
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性レポート 
 CVSSスコアの範囲 
 危険度レベル スコア範囲 None 0.0 Low 0.1 〜 3.9 Medium 4.0 〜 6.9 High 7.0 〜 8.9 Critical 9.0 〜 10.0
  76. 93
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性レポート 
 脆弱性の危険度(深刻度):例 
 • Reflected XSS :一般的な反射型XSS
 ◦ CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N → 5.4 Medium 
 • Stored XSS:一般的な蓄積型XSS
 ◦ CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N → 6.5 Medium 
 • Reflected XSS to ATO:XSSによる一般アカウントの乗っ取り
 ◦ CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N → 7.1 High 
 • Stored XSS to ATO:XSSによる管理者アカウントの乗っ取り
 ◦ CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N → 9.1 Critical 
 脆弱性の状態によって 評価にとても変動あり
  77. 94
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティにおける脆弱性レポート 
 脆弱性レポートの作成方法:まとめ 
 • 「高品質な脆弱性レポートの特徴 」を踏まえて作成する
 ◦ 明確&簡潔, スクリーンショット や動画, 危険性の具体例 , 想定しうる攻撃シナリオ 
 • 実際の脆弱性レポート(Hacktivity)を参考にする
 ◦ (質が良いもの悪いものと色々あります)
 • 脆弱性を証明する上で攻撃条件や脅威を正しく示すようにする
 ポイント
  78. 95
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 タイムテーブル (120分) 
 10:00 ~ 10:10 (10分) 前置き + 本題説明
 10:10 ~ 10:20 (10分) バグバウンティの概要
 10:20 ~ 10:30 (10分) 規約・ルールの把握
 10:30 ~ 10:50 (20分) 初期調査編
 10:50 ~ 11:00 (10分) 休憩 + 自習
 11:00 ~ 11:40 (40分) 脆弱性調査編
 11:40 ~ 11:45 (5分)  レポートの作成方法
 11:45 ~ 11:50 (5分)  まとめ 
 11:50 ~ 12:00 (10分) Q&A 
 

  79. 97
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 本講座の概要 (定義) 
 『実践的なバグバウンティ入門』 
 本講座では、バグバウンティにおける初期調査や脆弱性調査などの方法 を
 ハンズオン形式で実施します。 
 特にバグハンターとしての視点 で、実際のバグバウンティの対象に対して 
 どういう情報収集をしたり、どういう観点で脆弱性調査をするかなどの 
 ポイントを押さえながら 、一緒に体験していただきます。 
 また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に
 限定して、Webセキュリティの要素のみを取り扱います。
 https://issuehunt.jp/events/2024/summer/p3nfest
  80. 98
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 本講座のポイント (ゴール) 
 1. バグバウンティの概要 2. ドメイン(Web)に対する初期調査の方法 3. ドメイン(Web)に対する脆弱性調査の方法 バグバウンティの特長を知る • CTFやHTBとのアプローチの違い
  81. 99
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ入門 
 バグバウンティに取り組む上で大事なこと 
 • バグバウンティは基本的に「長期戦」である
 ◦ 「継続的な取り組み 」が大切
 • 脆弱性に対して好奇心や探究心を持って調査すること
 ◦ 根気よく探し続ける, 検証し続ける, 調査を楽しむ
 • 常にインプット とアウトプット(実践) を繰り返すこと
 ◦ インプット:知見, テクニック, 事例
 ◦ アウトプット:調査, 検証
 ポイント
  82. 100
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ入門 
 バグバウンティの醍醐味 (個人の感想) 
 • 許可の上でリアルワールドのサービス に対して脆弱性を探して良い点
 ◦ 規約の範囲内で実際の脅威 を示せるところまで深ぼって調査や検証をして良い点
 ◦ 好きな時間 に探したいプログラムの対象 に対して取り組める点
 ◦ 事業者や利用者へのセキュリティ貢献に繋がる点 (世の中のためになる点)
 • 他の人がまだ見つけていない脆弱性を見つけられるかの実力勝負な点 
 • 対価として報酬金やプラットフォーム内のポイント(評価)が貰える点
 ◦ 対外的に成果が実績となる点

  83. 101
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ入門 
 バグバウンティに取り組むことで得られること 
 • 経験
 ◦ 実際の脆弱性を探す経験
 • 実績
 ◦ 実際に脆弱性を見つけた実績
 • お金
 ◦ 対価としての報酬金 

  84. 102
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ入門 
 バグバウンティに取り組むことで得られること 
 • 経験
 ◦ 実際の脆弱性を探す経験    → 脆弱性診断, PT, 保守 
 • 実績
 ◦ 実際に脆弱性を見つけた実績  → 就活, キャリアアップ 
 • お金
 ◦ 対価としての報酬金      → モチベーション, 収入

  85. 103
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ入門 
 おすすめのロードマップ (個人の意見) 
 1. 脆弱性の概要や仕組みを学ぶ
 a. Web Security Academy, PentesterLab, TryHackMe
 2. 実際の脆弱性の事例や観点を知る
 a. Hacktivity, CVE, 
 3. 各調査(Recon, Research)のアプローチ方法 を知る
 a. ブログ, YouTube, X(Twitter), コミュニティ, 自己研究 
 4. バグバウンティ(VDP, BBP)にチャレンジ! 
 a. IssueHunt, 3大プラットフォーム
 ポイント
  86. 104
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 バグバウンティ入門 
 おすすめの学習コンテンツ (Webセキュリティ) 
 • Web Security Academy (無料)
 ◦ https://portswigger.net/web-security
 • PentesterLab (有料)
 ◦ https://pentesterlab.com/
 • TryHackMe (無料)
 ◦ https://tryhackme.com/
 ▪ Learning Paths:Web Fundamentals
 ▪ Rooms:NahamStore
 

  87. 105
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 IssueHunt「学生限定バグバウンティイベント」 
 https://issuehunt.jp/events/2024/summer/p3nfestbugbounty イベント期間 ・9/2〜9/30
  88. 106
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 ブログ「バグバウンティ入門(始め方)」 
 
 
 https://scgajge12.hatenablog.com/entry/bugbounty_beginner
  89. 107
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 ブログ:バグバウンティ系の記事 
 blog of morioka12 
 1. 2023-09-25:バグバウンティ入門 (始め方)
 2. 2023-10-25:バグバウンティにおけるBug Bounty Hunter の実態調査まとめ
 3. 2023-12-04:バグバウンティで使えるおすすめの Burp Extensions 10選
 4. 2023-12-05:バグバウンティで使えるおすすめのツール10選
 5. 2023-12-06:バグバウンティにおける JavaScript の静的解析と動的解析まとめ
 6. 2023-12-07:バグバウンティで使えるおすすめのブラウザ拡張機能 10選
 7. 2023-12-12:バグバウンティにおける Critical な脆弱性報告の事例まとめ
 8. 2023-12-13:バグバウンティにおけるモバイルアプリ の脆弱性報告の事例まとめ
 9. 2023-12-27:バグバウンティにおける人気脆弱性報告 Top 10 (2023年版)
 10. 2024-01-17:バグバウンティにおける XSS の具体的な脅威の事例まとめ
 11. 2024-07-29:バグバウンティにおけるおすすめの学習コンテンツまとめ(YouTube 編)

  90. 108
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 質疑応答 (Q&A) 


    11:50 ~ 12:00 (10分) 残り時間でなんでもお答えします! (夕方の懇親会でも可 )
  91. 109
 PUBLIC 
 P3NFEST 2024 Summer「実践的なバグバウンティ入門」 @scgajge12 P3NFEST 2024 Summer「実践的なバグバウンティ入門」

    @scgajge12 連絡先 (相談・依頼) 
 森岡(morioka12)への連絡先 
 • X (Twitter) 
 ◦ @scgajge12
 • Discord 
 ◦ scgajge12
 • メールアドレス 
 ◦ [email protected]
 https://scgajge12.github.io/