【BugBounty】 2019年6月13日 活動日記

f:id:NickShadows:20190613222003j:plain

※hackerone経由で公式にwebの調査をしています。

やろうとしたこと

  1. バグバウンティ実施リスト作成





やったこと

  1. バグバウンティ実施リスト作成

1.バグバウンティ実施リスト作成





腰を据えて、1つのサイトに対して取り組むことにしました
後悔も反省もこのサイトへ取り組んでからです。
とりあえず、6月はこのサイトのみとします。




チェックリストを作り上げたいと思いました。
雛形は作ったので、これに足したり消したりしていこうと思います。




構成はこんな感じです。

No 大項目 中項目 小項目 調査結果
1 事前調査 サブドメイン sublist3r
2 ポートスキャン masscan
3 ディレクトリスキャン dirsearch
4 ソース解析 burp spider(フォーム以外)
5 js エンドポイント
6 URL リダイレクト
7 サイト挙動確認 サイトが提供する機能、各種ロジック
8 簡易ファジング パラメータへのXSS
9 オープンリダイレクト
10 検証 登録系
11 検索系
12 表示系





調査した後、何をやるか?が決まってないです。。。
そこは自分のひらめきに任すとします。




次やりたいこと

  1. 実践





得たこと、成長したこと

  1. チェックリストの雛形ができた
  2. ターゲットサイトが決まった
  3. 当面の方針が決まった





気になったもの

調査に使えるエンジン。
censysとshodanは使ってましたが、こんなに種類があるんですね。
休みの日に試します。




vitor-fernandes.github.io

動画付きのXSSレポート。
理解できませんでしたが、あとで動画を見ます。