Submit Search
Upload
LINE Security Bug Bounty Program の紹介
•
Download as PPTX, PDF
•
1 like
•
1,712 views
LINE Corporation
Follow
LINE株式会社 セキュリティ室 中村智史 #ssmjp 2018/02での発表資料です https://ssmjp.connpass.com/event/76758/
Read less
Read more
Technology
Report
Share
Report
Share
1 of 32
Download now
Recommended
Net literacy
Net literacy
TODASOGOLawOffice
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
Cy-PSIRTの取り組み
Cy-PSIRTの取り組み
Mtikutea
ソーシャルメディア活用とリスクマネジメント
ソーシャルメディア活用とリスクマネジメント
Leung Man Yin Daniel
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
IIJ
JJUG CCC 2018 Fall 懇親会LT
JJUG CCC 2018 Fall 懇親会LT
LINE Corporation
Reduce dependency on Rx with Kotlin Coroutines
Reduce dependency on Rx with Kotlin Coroutines
LINE Corporation
Kotlin/NativeでAndroidのNativeメソッドを実装してみた
Kotlin/NativeでAndroidのNativeメソッドを実装してみた
LINE Corporation
Recommended
Net literacy
Net literacy
TODASOGOLawOffice
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
Cy-PSIRTの取り組み
Cy-PSIRTの取り組み
Mtikutea
ソーシャルメディア活用とリスクマネジメント
ソーシャルメディア活用とリスクマネジメント
Leung Man Yin Daniel
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
IIJ
JJUG CCC 2018 Fall 懇親会LT
JJUG CCC 2018 Fall 懇親会LT
LINE Corporation
Reduce dependency on Rx with Kotlin Coroutines
Reduce dependency on Rx with Kotlin Coroutines
LINE Corporation
Kotlin/NativeでAndroidのNativeメソッドを実装してみた
Kotlin/NativeでAndroidのNativeメソッドを実装してみた
LINE Corporation
Use Kotlin scripts and Clova SDK to build your Clova extension
Use Kotlin scripts and Clova SDK to build your Clova extension
LINE Corporation
The Magic of LINE 購物 Testing
The Magic of LINE 購物 Testing
LINE Corporation
GA Test Automation
GA Test Automation
LINE Corporation
UI Automation Test with JUnit5
UI Automation Test with JUnit5
LINE Corporation
Feature Detection for UI Testing
Feature Detection for UI Testing
LINE Corporation
LINE 新星計劃介紹與新創團隊分享
LINE 新星計劃介紹與新創團隊分享
LINE Corporation
LINE 技術合作夥伴與應用分享
LINE 技術合作夥伴與應用分享
LINE Corporation
LINE 開發者社群經營與技術推廣
LINE 開發者社群經營與技術推廣
LINE Corporation
日本開發者大會短講分享
日本開發者大會短講分享
LINE Corporation
LINE Chatbot - 活動報名報到設計分享
LINE Chatbot - 活動報名報到設計分享
LINE Corporation
在 LINE 私有雲中使用 Managed Kubernetes
在 LINE 私有雲中使用 Managed Kubernetes
LINE Corporation
LINE TODAY高效率的敏捷測試開發技巧
LINE TODAY高效率的敏捷測試開發技巧
LINE Corporation
LINE 區塊鏈平台及代幣經濟 - LINK Chain及LINK介紹
LINE 區塊鏈平台及代幣經濟 - LINK Chain及LINK介紹
LINE Corporation
LINE Things - LINE IoT平台新技術分享
LINE Things - LINE IoT平台新技術分享
LINE Corporation
LINE Pay - 一卡通支付新體驗
LINE Pay - 一卡通支付新體驗
LINE Corporation
LINE Platform API Update - 打造一個更好的Chatbot服務
LINE Platform API Update - 打造一個更好的Chatbot服務
LINE Corporation
Keynote - LINE 的技術策略佈局與跨國產品開發
Keynote - LINE 的技術策略佈局與跨國產品開發
LINE Corporation
LINE Ads Platformの開発を支えるKafka
LINE Ads Platformの開発を支えるKafka
LINE Corporation
I/O intensiveなKafka ConsumerアプリケーションのスループットをLINE Ads Platformではどのように改善したか
I/O intensiveなKafka ConsumerアプリケーションのスループットをLINE Ads Platformではどのように改善したか
LINE Corporation
生粋のKotlin LoverによるLINEのKotlinの話
生粋のKotlin LoverによるLINEのKotlinの話
LINE Corporation
More Related Content
More from LINE Corporation
Use Kotlin scripts and Clova SDK to build your Clova extension
Use Kotlin scripts and Clova SDK to build your Clova extension
LINE Corporation
The Magic of LINE 購物 Testing
The Magic of LINE 購物 Testing
LINE Corporation
GA Test Automation
GA Test Automation
LINE Corporation
UI Automation Test with JUnit5
UI Automation Test with JUnit5
LINE Corporation
Feature Detection for UI Testing
Feature Detection for UI Testing
LINE Corporation
LINE 新星計劃介紹與新創團隊分享
LINE 新星計劃介紹與新創團隊分享
LINE Corporation
LINE 技術合作夥伴與應用分享
LINE 技術合作夥伴與應用分享
LINE Corporation
LINE 開發者社群經營與技術推廣
LINE 開發者社群經營與技術推廣
LINE Corporation
日本開發者大會短講分享
日本開發者大會短講分享
LINE Corporation
LINE Chatbot - 活動報名報到設計分享
LINE Chatbot - 活動報名報到設計分享
LINE Corporation
在 LINE 私有雲中使用 Managed Kubernetes
在 LINE 私有雲中使用 Managed Kubernetes
LINE Corporation
LINE TODAY高效率的敏捷測試開發技巧
LINE TODAY高效率的敏捷測試開發技巧
LINE Corporation
LINE 區塊鏈平台及代幣經濟 - LINK Chain及LINK介紹
LINE 區塊鏈平台及代幣經濟 - LINK Chain及LINK介紹
LINE Corporation
LINE Things - LINE IoT平台新技術分享
LINE Things - LINE IoT平台新技術分享
LINE Corporation
LINE Pay - 一卡通支付新體驗
LINE Pay - 一卡通支付新體驗
LINE Corporation
LINE Platform API Update - 打造一個更好的Chatbot服務
LINE Platform API Update - 打造一個更好的Chatbot服務
LINE Corporation
Keynote - LINE 的技術策略佈局與跨國產品開發
Keynote - LINE 的技術策略佈局與跨國產品開發
LINE Corporation
LINE Ads Platformの開発を支えるKafka
LINE Ads Platformの開発を支えるKafka
LINE Corporation
I/O intensiveなKafka ConsumerアプリケーションのスループットをLINE Ads Platformではどのように改善したか
I/O intensiveなKafka ConsumerアプリケーションのスループットをLINE Ads Platformではどのように改善したか
LINE Corporation
生粋のKotlin LoverによるLINEのKotlinの話
生粋のKotlin LoverによるLINEのKotlinの話
LINE Corporation
More from LINE Corporation
(20)
Use Kotlin scripts and Clova SDK to build your Clova extension
Use Kotlin scripts and Clova SDK to build your Clova extension
The Magic of LINE 購物 Testing
The Magic of LINE 購物 Testing
GA Test Automation
GA Test Automation
UI Automation Test with JUnit5
UI Automation Test with JUnit5
Feature Detection for UI Testing
Feature Detection for UI Testing
LINE 新星計劃介紹與新創團隊分享
LINE 新星計劃介紹與新創團隊分享
LINE 技術合作夥伴與應用分享
LINE 技術合作夥伴與應用分享
LINE 開發者社群經營與技術推廣
LINE 開發者社群經營與技術推廣
日本開發者大會短講分享
日本開發者大會短講分享
LINE Chatbot - 活動報名報到設計分享
LINE Chatbot - 活動報名報到設計分享
在 LINE 私有雲中使用 Managed Kubernetes
在 LINE 私有雲中使用 Managed Kubernetes
LINE TODAY高效率的敏捷測試開發技巧
LINE TODAY高效率的敏捷測試開發技巧
LINE 區塊鏈平台及代幣經濟 - LINK Chain及LINK介紹
LINE 區塊鏈平台及代幣經濟 - LINK Chain及LINK介紹
LINE Things - LINE IoT平台新技術分享
LINE Things - LINE IoT平台新技術分享
LINE Pay - 一卡通支付新體驗
LINE Pay - 一卡通支付新體驗
LINE Platform API Update - 打造一個更好的Chatbot服務
LINE Platform API Update - 打造一個更好的Chatbot服務
Keynote - LINE 的技術策略佈局與跨國產品開發
Keynote - LINE 的技術策略佈局與跨國產品開發
LINE Ads Platformの開発を支えるKafka
LINE Ads Platformの開発を支えるKafka
I/O intensiveなKafka ConsumerアプリケーションのスループットをLINE Ads Platformではどのように改善したか
I/O intensiveなKafka ConsumerアプリケーションのスループットをLINE Ads Platformではどのように改善したか
生粋のKotlin LoverによるLINEのKotlinの話
生粋のKotlin LoverによるLINEのKotlinの話
LINE Security Bug Bounty Program の紹介
1.
LINE Security Bug Bounty
Program の紹介 @tomofumi, Security Dept / LINE Corp
2.
Tomofumi Nakamuraで検索 + 正岡子規さんっぽい写真 Bounty
立上げして、現在は後方支援 普段は 脆弱性診断、Phishing 対策、調達、育成、 、、、いろいろ こんなひと Self Intro
3.
登壇した背景 日本からの報告を盛り上げたい。 ケチってないことを知って欲しい。
ついでに内製のセキュリティ組織があるって知って欲しい。 セキュリティのエンジニアいます。 会場提供したからってだけじゃない
4.
• Bug Bounty
の一般的な話 • LINE の Bug Bounty の話 • 報奨金を提供できた事例 • 報告のコツ Agenda
5.
Bug Bounty の一般的な話
6.
Bug Bounty とは
製品やサービスには脆弱性が潜在する。 潜在する脆弱性を発見した社外の報告者へ御礼で報いる活動。 御礼は、金銭、Tシャツ、 食事、名誉、いろいろある。 企業側の思惑はいろいろある。 今日は常設についてお話します
7.
パターン1 : 直接運営 報告者
企業 脆弱性 御礼 LINE はこちら
8.
報告者 企業 脆弱性 御礼 パターン2 :
間接運営 代行事業 窓口代行、 脆弱性 代行費+御礼費、 情報買い取り費 内部にセキュリティの人がいないとこちらが多い
9.
日本と海外の比較 BugBounty.jp HackerOne Bugcrowd Synack 買い取って転売する組織 ...
etc Google Microsoft Facebook Mozilla ... etc 日本 海外 直接 間接 サイボウズ LINE (昔はもう少しあった) (HackerOneを使う企業も有る) 私見ですけど、日本はまだ黎明期と普及期の間くらい、海外は普及期と成熟期の間くらい
10.
LINE の Bug
Bounty の話
11.
おおまかな流れ 内容の審査 御礼をお届け御礼の審査 対象外Web から報告 平均して2ヶ月くらい (
案外、御礼の手続きに時間がかかります ) 修正 影響調査や各所調整 運営 手続き 報告者 手続き
12.
https://bugbounty.linecorp.com/ 報告用のフォームを常設。
金額や対象範囲など詳細が全部わかる。 Web に全部ある
13.
2017年は年間総額 76,500
USD 。 審査員はセキュリティエンジニア。 報告内容次第で参考金額に上乗せある。 2017年の振り返り記事 https://engineering.linecorp.com/j a/blog/detail/255 結構もらえます
14.
御礼について補足 御礼はお金だけじゃない。 就業規則や税金関連で報奨金を受け取りたくない人などを想定して、寄付も用意。
Apache Software Foundation Linux Foundation OWASP Electronic Frontier Foundation (EFF) Let’s Encrypt Tシャツが人気あるって聞いたので、弊社もTシャツを作成した。 (イケてるかどうかは今後の課題)
15.
Hall of
Fame (超意訳:ツワモノたち) 誰がどの分野で何件かわかる。 利用規約上の対象外でも載ることある。 https://bugbounty.linecorp.com/ja/hall offame/ 功績を公開
16.
報奨金を提供できた事例 金額が低いものから
17.
500 USD
18.
DOM based XSS
by Regx Filter Misuse 500 USD 正規表現にユーザーの入力値を使う設計。 報告者の詳細な解説記事がある。 http://masatokinugawa.l0.cm/2018/01/regex-domxss.html 新作Tシャツも送った。
19.
1,000 USD
20.
LINE Nearby User
Tracking 1,000 USD Indonesia 限定で提供している位置情報を扱う LINE Nearby というサービス。 GPS 偽装 + 三角測量 = 標的にしたユーザーの正確な位置を特定できた。
21.
6,000 USD
22.
Open Redirect >
Account Takeover 6,000 USD LINE Login の OAuth の Redirect 処理の設計不備。 Redirect 先の URL 指定において、https://user@example.com を指定可能だった。 user@ に悪意ある誘導先を指定した場合、example.com より優先されてしまう。 その結果 Account Takeover まで発展。
23.
20,000 USD
24.
Remote Code Execution
20,000 USD SIP の Server 側の処理で Buffer Overflow が可能だった。 これを利用して Remote Code Execution まで発展。
25.
報告のコツ
26.
残念ながらよく見る報告 画面がバグってます。 脆弱性ではないため「お問い合わせ」へ誘導。
X-Frame-Option がないです。 ありがたいですが、残念ながら利用規約上の対象外。 それがないことによる具体的な Risk を指摘してもらえたら ... 。 Scanner を実行した結果を送ります。赤い部分がたぶん問題。 Scanner の report 機能で出力した pdf だな ... 全部誤検知だった。 そもそも Scanner は利用規約上は禁止してる。
27.
報告のコツ 1. 概要として「どこ」で「なに」を見つけたか書いてある。 2. 再現手順が箇条書きなどで見やすい。 3.
PoC や payload が書いてある。 4. 脆弱性を悪用したことで発生する Risk が書いてある。 5. 修正案が書いてある。 報告で入れるべき要素、トップ5
28.
なぜコツが必要なのか 報告者 早く処理して欲しい。
運営 早く処理して報告者に応えたい。 実は同じ方向を向いている、でもしんどい現実がある
29.
なぜコツが必要なのか 報告者 早く処理して欲しい。
運営 早く処理して報告者に応えたい。 でも現実は結構手間がかかる。( ここを改善するためにコツが必要 ) 報告内容の読解。 PoC 作成。 影響範囲調査や Risk 検討。 影響ある開発者を説得。 修正方法の検討と案内。 修正確認。... などなどなど。 実は同じ方向を向いている、でもしんどい現実がある
30.
コツをふまえた効果 報告者 早く処理して欲しい。
運営 早く処理して報告者に応えたい。 でも現実は結構手間がかかる。( ここを改善するためにコツが必要 ) 報告内容の読解。 PoC 作成。 影響範囲調査や Risk 検討。 影響ある開発者を説得。 修正方法の検討と案内。 修正確認。... などなどなど。 打ち消し線の部分やいろんな工数が軽くなる = 処理が早くなる
31.
もう一度、報告のコツ 1. 概要として「どこ」で「なに」を見つけたか書いてある。 2. 再現手順が箇条書きなどで見やすい。 3.
PoC や payload が書いてある。 4. 脆弱性を悪用したことで発生する Risk が書いてある。 5. 修正案が書いてある。 大事なことなので2回目
32.
Thank you
Download now