Nick Security Log

securityを始めとしたNickのブログです

バグバウンティの始め方の始め方

f:id:NickShadows:20190607222533j:plain

大前提

「バグバウンティプログラムの対象」となっているサイトのみを調査の調査としてください。
許可されていないサイトで調査をすると犯罪になります。

blog.bugbounty.jp



バグバウンティとは

脆弱性を発見して報酬をもらえるシステムです。
対象はWeb、モバイル、ソースコード、IoTといろいろあります。

楽しさ

探求し、誰も見つけていないものを見つけるという冒険者のような気分を味わえます。

ゲームとは違い、ここで見つかったバグは誰も見つけていません。
(修正途中の可能性はありますが)

昔憧れたファンタジーの片鱗を味わいたい方にオススメです。

個人的に、サービスをぶっ壊す楽しさもあります。
もちろんぶっ壊すレベルにはやらないのですが、実際に公開されているサービスでバグを見つけると、炭酸を一気飲みしたようなスカッとした気分になります。

バグをみつける対象を探す

まずは対象を見つけないとそもそも始まりません。
私はWebでやっているので、対象はWebとします。


対象となるWebサイトを探しますが、だいたい以下の2つで探すと思います。

  1. バグバウンティプログラムを提供している企業を探す
  2. 様々な会社のバグバウンティプログラムを介するプラットフォームを探す


1.バグバウンティプログラムを提供している企業を探す


こちらは、企業としてバグバウンティプログラムをやっているものに参加する形となります。
日本で有名なのはサイボウズ社でしょうか。
合宿なども行われており、盛んなイメージがあります。

【参考】

cybersecurity-jp.com


2.様々な会社のバグバウンティプログラムを介するプラットフォームを探す


イメージ的には、求人を提供する転職エージェントみたいな感じです。
案件のようにバグバウンティプログラムを提供してくれています。

代表的なものは、hackeroneやbugcrowdです。 私はhackeroneに登録しています。
2つとも、大きな違いは無いと聞きます。

【hackerone】

www.hackerone.com


【bugcrowd】

www.bugcrowd.com



最低限必要なツールをインストールする

プロキシツールがあれば、最低限大丈夫だと思っています。
プロキシツールは、Webの通信を見たり、改ざんしたりするものです。

詳しくは「プロキシツール」でググるとたくさん詳細が出てきます。
1つ、参考としてリンクを張ります。

persol-tech-s.co.jp


私は上のブログでも書かれているBurp Suiteを使用しています。

大まかにfree版pro版があり、pro版は年間45000円くらいです。
(他にもエディションがあったり、pro版の価格が変動したりしますが、割愛します)
私はpro版ですが、機能が大きく向上するのでおすすめです。
ただ、始めるのにはfree版でも問題ないと思います。

コミュニティに入っておく

バグバウンティは1人でやる印象が強いですが、実際には1人でやりません。
情報共有をみんなで行います。

日本では記事やコミュニティが少ないですが、海外では盛んに行われています。
わからないことを質問するために、コミュニティに入っておきましょう。

discordapp.com

discordapp.com


日本のコミュニティでは、私が作成したCSLなどがあります。

www.nicksecuritylog.com


必要なスキル

  • HTTP
  • Webサイトの構成概要
  • 各脆弱性について

このように必要なスキルは数多くありますが、ずっと勉強していても面白くないので、まずは実際のWebサイトを見てみましょう。

気になったものがあれば、そこから学んでいきましょう。
以前書いた記事があるので、参考になれば幸いです。

www.nicksecuritylog.com

注意点

何かのついでにやると、バグが見つからずに落ち込みます。
「Webセキュリティを学ぶついでに賞金もほしいな」って考えだと基本見つからないです。

終わりに

バグバウンティをやっている人は少ないので、広まっていけば良いなと思いました。
始めたい方は、この記事で方法や雰囲気が少しでも掴んでいただけたらと思います。