脆弱性を探す話 2023 - Qiita
最近年2回のサイボウズ以外はほぼバグバウンティしていない現状であるが、やる気が起きたときようにメモ 主にWebアプリに関すること 診断と自分で勝手に脆弱性を探す行為との違い 網羅性は全く必要ない 診断は網羅してないと怒られることがあるが好きな脆弱性だけ探せる。 期間が永遠 診断期間は自由なので後で気づいて頭を抱えることはない 攻撃に到るまでを説明する必要がある 「バージョンが古いのでダメです」だけでは許してもらえない 変なことすると逮捕される可能性がある 無闇にツール回すと不正アクセス禁止法に引っかかるので だがしかし海外勢は法律の違いもあるのか好きなサイトに気軽にツールを回すので太刀打ちできない 日本人としては許可されたところかローカルに環境作って攻撃するのが心理的安全性が高い 2023年度の傾向 コモディティ化が進む 自分だけしか知らないような脆弱性はない まだ知られていない手法もほぼ
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティの入門として、主に Web アプリケーションを対象にした脆弱性の発見・報告・報酬金の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド Start Bug Bounty Bug Bounty JP Podcast 2. バグバウンティとは バグバウンティプラットフォーム Program Type Private Programs VDP (Vulnerability Disclosure Program) Asset Type 3. プログラムの選び方 Scope OoS (Out of Scope) 4. 脆弱性の探し方 (初期調査編) Subdomain Google Dorks Wayback Machine Wappalyzer JS Analyze [Blog] Java
2019年8月のプロフィール画像の改ざん事件に関する報道について | LINE Corporation | セキュリティ&プライバシー
LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。 LINEヤフー株式会社のコーポレートサイトはこちらです。 当ページに記載されている情報は、2023年9月30日時点の情報です。 2020年6月27日に、複数の新聞社から2019年8月の不正アクセス事件に関する報道がありましたが、この件に関連して当社より改めてのご報告がございます。 本件は、2019年9月2日付けで、下記の通りに公表しています。本脆弱性に起因して、影響を受けた方々には、改めまして、ご迷惑とご心配をおかけしたことをお詫びいたします。 LINEアカウントのプロフィール画像を変更可能な脆弱性の修正のお知らせ 尚、本件における不正アクセス行為は、あくまでLINEアカウントのプロフィール画像の更新に関わる認証機能の不具合に起因して行われたものです。当社サーバーへの侵入やパスワードの漏洩といった、他の被害は発
NTT Com社内バグバウンティのご紹介 - NTT Communications Engineers' Blog
はじめに はじめまして!情報セキュリティ部で社内バグバウンティ(NTT Com Bug Bounty Program)の運営をやっている長妻です。 この記事では、NTT Comで開催している社内バグバウンティを紹介します。また、社内バグバウンティに限らず、一般的なバグバウンティへ未経験の方にも参加してもらうために基本的なバグ調査環境を紹介します。 NTT Com Bug Bounty Programについては以下の記事もご確認ください。 社員が“バグハンター”として自社サービス・システムの堅牢化に参画 NTT Comが社内バグバウンティプログラムをスタート - Shines|NTTコミュニケーションズ そもそもバグバウンティとは? バグバウンティという言葉を聞いたことはあるでしょうか? 近頃はニュースにもされるようになってきたので、この記事の読者層は知っている人も少なくはないのかなと想像し
はじめに こんにちは。お金見つけたいですか? 最近は脆弱性を探してお金を稼ぐ記事や、企業が見つけた脆弱性にお金を払うことをよしとする記事を見かけることがあります。これらについては眉唾だと思っている人が大半だと思います。そんな怪しいことできれいなお金が稼げるなんてねえ。 そこで、経験者の立場から脆弱性で本当に稼げるのか、脆弱性って見つかるのか、のようなことについて書こうと思います。そして、吸収力のありそうな若者だけじゃなくて良い年したおっさんおばさんでも稼げるのか?ということについて、同世代の目でコメントしたいと思っています。 特にこの2年くらいは海外のバグバウンティにあまり手を出せておらず、2019年の報告は1件のみなので、海外の事情については少し遅れていることもあるかもしれません。ご了承ください。 本稿の対象読者 もう若くないけどなんかやってみたい人 脆弱性で一儲けしたい人 バグバウンテ
脆弱性報奨金制度 通年ではじまります & 2022 振り返り - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、Cy-PSIRTの久保です。本記事では報奨金制度の通年実施のご案内と、昨年分の振り返りについてお知らせしたいと思います。 サイボウズ脆弱性報奨金制度とは サイボウズ脆弱性報奨金制度は、弊社サービスに存在する脆弱性を早期に発見・改修することを目的とする制度です。対象製品の脆弱性を報告いただいた方に、謝礼として報奨金をお支払いしています。検証に際して参加者ごとに専用の環境を提供しており、本番環境への影響を気にすることなくご参加いただけます。 cybozu.co.jp 脆弱性報奨金制度 (通年) 期間 2023年4月21日(金) から通年で実施 今年から年度間の休止期間を挟まず、通年での実施となります。 ルール 脆弱性報奨金制度のルールは脆弱性報奨金制度ルールブックおよび、脆弱性認定ガイドラインをご覧ください。また、対象製品はサイボウズ脆弱性報奨金制度の「対象となる製品・サービスおよ
バグバウンティにおける JavaScript の静的解析と動的解析まとめ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティなどの脆弱性調査で行う、JavaScript の静的解析と動的解析についてまとめて紹介します。 1. 始めに 免責事項 想定読者 検証環境 静的解析と動的解析 2. 静的解析 (Static Analysis) 2.1 JavaScript File の URL を収集する getJS hakrawler getallurls (gau) 2.2 エンドポイントを列挙する LinkFinder xnLinkFinder katana jsluice endext 2.3 シークレット情報を検出する SecretFinder jsluice Mantra trufflehog 2.4 潜在的な脆弱性情報を検出する Retire.js ESLint 3. 動的解析 (Dynamic Analysis) DevTool
バグバウンティにおける XSS の具体的な脅威の事例まとめ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティで実際にあった脆弱性報告の事例をもとに、XSS の具体的な脅威(Impact)についていくつか紹介します。 1. 始めに 免責事項 想定読者 2. XSS (Cross Site Scripting) HackerOne Top 10 Vulnerability Types Escalation (Goal) 3. XSS の脅威 (Impact) 3.1 Response Body から Session ID の奪取 3.2 Local Storage から Access Token の奪取 3.3 IndexedDB から Session Data の奪取 3.4 メールアドレスの改ざん 3.5 パスワードの改ざん 3.6 管理者アカウントの招待 3.7 POST Based Reflected XSS 4.
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティなどの Web アプリケーションを対象とした脆弱性調査でよく使われる、おすすめのツールを10個紹介します。 1. 始めに 免責事項 想定読者 注意点 2. Tools 2.1 Burp Suite おすすめの Burp Extensions 10選 2.2 ffuf 2.3 subfinder 2.4 nuclei 2.5 naabu 2.6 getallurls (gau) 2.7 xnLinkFinder 2.8 dirseaech 2.9 Arjun 2.10 byp4xx 3. その他 Google Dorks バグバウンティ入門(始め方) 参考ドキュメント・コメント 4.終わりに 免責事項 本稿の内容は、セキュリティに関する知見を広く共有する目的で執筆されており、悪用行為を推奨するものではありません。
こんにちは。Cy-PSIRT(Cybozu Product Security Incident Response Team)の福永です。 本エントリでは 2018年に実施した報奨金制度の結果 参加者からのご意見 について、ご紹介いたします。 2018年に実施した報奨金制度の結果 定量情報 2018年の脆弱性認定数は155件、報奨金支払金額は21,055,000円でした。*1 着信数認定数(暫定)報奨金支払金額(暫定) 362件155件21,055,000 円 前年度と比較して、着信数、認定数ともに約1.5倍に増加し、報奨金支払金額の合計も倍近くに増えました。2017年7月7日から開始した「報奨金最大5倍キャンペーン」を、2018年には、通年化したことが主な要因です。 2018年度報奨金獲得ランキング 総額ランキング 獲得した報奨金額の合計が最も多かったのは、西谷完太(@no1zy_sec)
こんにちは。Cy-PSIRT(Cybozu Product Security Incident Response Team)の福永です。 本エントリでは 2019年に実施した報奨金制度の結果 参加者からのご要望 について、ご紹介いたします。 2019年に実施した報奨金制度の結果 定量情報 2019年の定量情報は、次の通りです。*1 着信数認定数(暫定)報奨金支払金額(暫定) 489件193件15,348,000円 着信数が増加した要因 着信数は前年度と比較して、40%増えています。 2019年4月20日(土)、21日(日)に2年ぶりのバグハン合宿2019を開催し、そのイベントで多数報告いただいたことが、着信数の増加に繋がりました。 489件中196件がバグハン合宿でのご報告です。 認定数が増加した要因 認定数は前年度と比較して、26%増えています。 複数製品で発生する脆弱性をバグハンターの
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
バグバウンティ入門(始め方) - blog of morioka12
アラフォーのためのバグバウンティの話 - Qiita
バグバウンティで使えるおすすめのツール10選 - blog of morioka12
2018年 報奨金制度を振り返って - Cybozu Inside Out | サイボウズエンジニアのブログ
2019年 報奨金制度を振り返って - Cybozu Inside Out | サイボウズエンジニアのブログ