バグバウンティビギナーグループの目的と本音

f:id:NickShadows:20190715155802j:plain


目的とか話したことなかったのでまとめます。



バグバウンティを楽しむこと

誰でもバグバウンティを楽しめる





これがやはり大事。みんなで楽しんでいこう。
グループを作った理由でもあるのですが、始める時にハードルが高い。
そのため、人が少なくて参考にできる情報が少なくて成長が遅い(私の)




これを解消したい、そして始めた後もできないことで悩んでほしくないという思いがありました。




これらはグループそのものの目的ですが、個人個人で目的があると思います。
それを尊重していきたいと思ってます。




私の目的は、「賞金と知識を得る」こと。
もちろん過程もガンガン楽しんでいきます。




現在はおおまかに以下の目的を持った方が参加しています。

  1. 情報収集
  2. バグバウンティの始め方を知りたい
  3. Webの勉強がてらバグバウンティをやりたい
  4. バグハンターとして勉強したい





どういうことが得られるか個別に見ていきます。

  1. 情報収集



バグレポート、各種脆弱性、方法論などをチャンネルにあげていきます。
また、週に一回「定例会」として、その週にあげたものを私がボイスチャットで報告していきます。
新しい情報はある程度キャッチアップできるかなと思います。




  1. バグバウンティの始め方を知りたい
  2. Webの勉強がてらバグバウンティをやりたい
  3. バグハンターとして勉強したい





このあたりは私のブログだったり、チャンネルにあげたものを解説したりしています。
質問ベースだったり、私の思いつきによる勉強会だったりなので、そこに参加していただければサックリ解決するかなと思います。




また、今後の流れとしてdiscordの良さを活かしてボイスチャットによる勉強会が増えてくると思います。
休日昼間とかに質問オンリーの時間をつくって回答しまくるとかでも良いと考えてます。




私の実力と知識レベル的に限界はあるのですが、0からであればある程度引き上げることはできるのかなと思っています。
私の内容では足りないと思った方。一緒に頑張りましょう




本音はどうなのよ

※閲覧注意!





ネット社会の今、綺麗事だけでは信頼できないですよね。
裏というか、現実をお話しいていこうと思います。

受け身の人に与えられる情報はかなり少ない



当たり前ですけどね。
何事においても、受け身でうまくいくことなんかないですよ。
受け身でうまくいくのは柔道くらいですね。




「情報収集」とは他の参加者の方が持っている情報を貰う、という意味合いの方が大きいです。




私がネットやらSNSから持ってくるのもある程度参考にはなると思いますが、同じように検索したりSNS見ればありますからね。




ここを勘違いされると「参加したけどいい情報転がってないな」になります。




情報が欲しければ発言してみませんか?
「〇〇の情報少ないんで、作ってもらえませんか?」




と。
アクティブな方はいらっしゃるのでやってくれると思います。
最低限私がいるのでやります。




これをすることで作った人は知識が定着します。
他の参加者の方も思いもよらない知識を得られます。
質問者の方は想定通りの知識を得られます。




Win Win Win ですね。




他のコミュニティはある程度人間関係が出来上がっていたり、知識が高い人が集まったりしていて発言しにくいところもあるかもしれないです。




ただ、このコミュニティは作りたてです。
そしてビギナー向けです。




みんな知らない、みんな同レベルです。




言っても良いんじゃないですか?
「GETってなに??」
「プロキシってなに??」
「脆弱性ってなに??」
「javascriptってなに??」




揚げ足取る人がいたら、BANします。
ただ、私も上記のような質問にテキストで完璧に答えるのは難しいので、ある程度参考リンク貼ってボイスチャットで解説、とかにしますけどね。




また、強制はしないです。
特に気になることがなかったら放置でいいんです。




我慢する人を作りたくない、それだけです。




「ビギナー向け」とは、適当に流してやってとりあえず楽しけりゃ良いじゃんではありません




繰り返しますが、目的は「他の方の質問やあがる記事を見たい」でもOKです。
ただ、我慢や萎縮をしてほしくないのです




まとめます。

個人宛でもいいので、気になることがあったら言ってね。
じゃないと、あなたが望むものは手に入らないよ





管理人(Nick)について

新米脆弱性診断士





めっちゃ書いてきて、じゃあそんなこと言うお前はなんなんだと。
何ができるのかと。ごもっともです。




自己紹介に経歴など書いてありますが、ざっくり書きます。

www.nicksecuritylog.com





私Nickが対応できること

  • バグバウンティ
    基礎、方法論、考え方、取り組み方など
  • Web基礎
    メソッド、ヘッダなど
  • 脆弱性基礎
    XSSなどの基本、参考情報にあるもの
  • プロキシツールについて
    Burp Pro、fiddler
  • プログラミング
    初級レベル(ツールが組める程度)
  • インフラ
    初級レベル(環境構築がだいたいできる程度





たぶんですが、だいたいの「ビギナー」レベルであればカバーできると思います。
ネットワーク?知らない子ですね。。。




グループリンク

www.nicksecuritylog.com