Nickセキュリティログ

ハニーポット、バグバウンティ、CTFなどなどセキュリティ関係のことを備忘録がてら書いていきます

【抜粋】海外のバグバウンティガイドで参考になったこと【ブログ】

f:id:NickShadows:20190708213118j:plain



海外の方はとても優しくて懇切丁寧にまとめてくれます。
しかし、内容が難しい上に英語なので、理解できるところが少ないです。




私が読んでいて参考になると思ったところを抜粋して紹介します。
海外の方はやる気も満点なのでなかなか高度なことを要求してきますが、やりたいところからやりましょう。








マインド

長時間1人で取り組み続ける





短期間で成果なんか出ないよってことが書いてあることが多いです。
これは大事ですね。




踏み込んで書いてあるものだと、「楽しむこと」とあるのもあります。
これからごちゃごちゃと書いていきますが、結局これが結論で最強なんですよね。




楽しみながら続けた人が成果が出るということですね。




基礎知識

「インターネット」を知る





心折れるポイントその1。
HTTPやTCPを学ぼうってことです。
脆弱性も一緒にされていることもありますね。
プログラミングもあります。




本を読むことがだいたい推奨されるのですが、上がる本だいたい以下です。

  • Web application hacker's handbook
  • Web Hacking 101



ちょっとハードル高いのでおのおの自由に基本を学んでいきましょう。




この「基礎知識」を鵜呑みにして頑張ると数年はかかると予想されます。
完璧を目指さず、欲しいものだけとっていきましょう。




リンク抜粋

www.w3schools.com



developers.google.com



www.owasp.org



portswigger.net



情報収集

これがメイン。情報は力。



どこのブログもこれがメインです。
死ぬほどリンクが貼ってあります。




「OWASP」や「DEF CON」といった動画を見ることも推奨されていたりしますね。
基礎知識だけではどうにもならないからこそ、様々な情報を頼りするということなのですね。




リンク抜粋

動画

www.youtube.com



www.youtube.com



サイト

pentester.land



Twitter

twitter.com



twitter.com





環境を変える

結局、1人ではない



最初に1人でずっと頑張りみたいなこと書きましたが、実際は1人じゃ無理なんです。
助けてくれるコミュニティに頼りましょう。


内容が難しいかも知れませんが、入るだけで世界は変わるかもしれませんよ。
なんせ、周りは「バグハンター」だらけなのですから。


BugBountyWorld

bugbountyworld.com



Bug Bounty Forum

bugbountyforum.com



日本のコミュニティ

www.slideshare.net



私のコミュニティ

www.nicksecuritylog.com





終わりに

いろいろなブログを見ていて、私がこれいいなって思ったものをはりはりしました。
なので、内容的にもっといいものがあったり、見落としている物があると思います。




その際はご連絡頂けるととてもありがたいです。
私の勉強になります。




また、情報が多くて目移りしてしまった方向けに少しだけの抜粋としましたので、「とりあえず見てみるか」でリンクをたどって頂けたらと思います。




参考ブログ

gowsundar.gitbook.io



medium.com



medium.com



whoami.securitybreached.org



github.com



medium.com



www.hackerone.com



pentester.land



medium.com