Nickセキュリティログ

ハニーポット、バグバウンティ、CTFなどなどセキュリティ関係のことを備忘録がてら書いていきます

【備忘録】じぶんを飽きさせない考え方【バグバウンティ編】

f:id:NickShadows:20190610211507j:plain

ある日、Twitterである投稿を見かけました。
「バグバウンティは順序立って取り組めないから難しい」



わかる!!!


明確な「答え」とは、賞金を得ることだと思うのですが、そこまでが遠い。
しかし、私は以前に比べて楽しくバグバウンティが出来ていると思います。
賞金は得られていないのに。



誰かの参考になったら、そしてまた私自身が困ったら。
その時のために備忘録として残しておこうと思います。



結論

「自分の望むことで、成長を実感し続けること」



プロゲーマー 梅原大吾さんの講演から抜粋した言葉です。




細かいことなどは動画で語られていますが、要するに「新鮮な体験をし続けること」です。

結論とした経緯

バグバウンティを始めようと思った頃、調べているうちに以下の記事を見つけました。

pentester.land

medium.com






どちらも入門記事ですが、私が気になったことは1つ。
結果が出るには最低約1年はかかるということ。





見たときは「そりゃそうだろ」と思いました。
しかし、2~3ヶ月後、その認識は覆りました。





飽きた のです。





理由としては、結果を追い求めすぎて「成長を実感できていなかった」からです。
どちらの記事もたくさんの情報があり、記事と相対的に考えると全く成長が実感出来ません。
また、賞金が獲得できていないということも大きかったです。指標がそこしかなかったですからね。


賞金が獲得できていない = 成長していない  と思っていたのです。





そこで、ぼーっと梅原大吾さんの講演動画を見ていたところ、結論にハッと気付きました。
そこから、まぁまぁフラフラしましたが、結果は出なくとも楽しめるようになりました





バグバウンティと他との比較

バグバウンティ編なので他との比較をして、どれだけバグバウンティが成長を実感しにくいか見てみます。
※私の経験による主観となります

No 取り組み 結果
1 資格勉強 試験合格
2 プログラミング アプリが想定通り動作する
3 バグバウンティ 賞金ゲット






一つずつ見ていきます。

資格勉強

資格勉強は「合格できれば達成」です。簡単ですね。
試験の難易度はありますが、目標点数がありますので、成長は実感しやすいと思います。




60点で合格として、一ヶ月前は30点しか取れなかったけど、今は50点取れれば成長しているとわかります。




プログラミング

最終的に「アプリが想定通り動作」すれば達成です。
最後までいきなりいこうとすると非常に難しいですが、プログラミングは分割して作ることができます。




シューティングゲームを作るのであれば、「自機を表示する」、「自機を動かす」、「弾を撃てるようにする」・・・
段階ごとに作ることが出来、実感することが出来ます。



このシューティングゲームは私も作ったことがあり、まず画像が表示できるだけでフィーバーしてました。




正直、上に書いた3つまでしか作れなくても、「画面上で弾を意味なく撃てるアプリ」が出来ます。
何もなかったところから、自分の操作により動くものが順序立てて作れるのです。



バグバウンティ

さて、バグバウンティ。
まず資格と比較してみると、合格点がありません。
「このXSS、認められるレベルだね~。合格!」とかはありません。



そして、プログラミングと比較。過程があっているかわかりません。
BrokenなWebサイトを公開してお金を垂れ流すサイトなんてありません(たぶん)




つまり、バグバウンティは「目安となる点数」もなく、「目安となる過程」もありません。
「目安となる過程」については、正直順番にWebについて学んでいけば十分かなと個人的には思っています。




ただ、お金が貰えることがその「目安となる過程」をふっ飛ばしてるのではないかなと思います。
私はふっ飛ばしていて、「お金が貰えないんなら駄目じゃん」と思った時期がありました。




私がやった解決策

f:id:NickShadows:20190610221240j:plain:w600

私は得た結論を参考に、「バグバウンティを楽しもう」としました。




「XSSが通らなかった!実際は本当にエスケープされるんだ!」
「うわ!なんかサービスのロゴが出た!これがWAFってやつか!」
「9000もXSSのペイロード集めてるのすげー!使っちゃお!」 「レポート見てたらオープンリダイレクトの賞金すごっ!夢があるじゃん!」




最近はこんなんばっかです。その時その時を楽しむことにしました。
そして後から振り返り、成長していることを確認します。上の例だと以下のようになります。

  1. 普通のXSSペイロードはほぼ通らないと知った
  2. WAFは普通に使われていると知った
  3. XSSのペイロードを大量に手に入れた
  4. オープンリダイレクトは賞金額が大きいと知った



一番最初に貼った記事では、最低一年ほどは結果が出ないとありました。
なので、焦っても仕方ないです。自分のペースで楽しみながら進めましょう。




補足として、大事なポイントは「自分の望むこと」です。


「やりたくないけど、IT業界とかセキュリティ業界とかお金貰えそうだしとりあえずやっとこ」は、ほぼ間違いなく折れます




まとめ

正直なところ、この結論を実践して身につくまでに3ヶ月くらいかかりました。
身につけている最中はすぐ周りと比較して落ち込んだりしてましたが、今は特に気になりません。




講演してくださった梅原大吾さん、ありがとうございました。
そして、長文を最後まで見てくださった皆さん、ありがとうございました。
皆さん、バグバウンティを楽しんでいきましょう。