Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
楽しいバグハントの世界 
セキュリティ・ミニキャンプin 東北2014 
2014/09/13(土) 
@llamakko_cafe
自己紹介 
らまっこ(Llamakko) 
• @llamakko_cafe 
• 九州在住の学生 
• 見習いバグハンター 
• XSSの脆弱性が大好き 
• http://xss.wiki/ 
• セキュリティキャンプ全国大会2014卒業生
脆弱性の報告実績 
XSSを中心にバグハント中… 
• Qiita 
• pixiv 
• mixi 
• Ameba 
• サイボウズ 
etc...
バグハントって何?
よくわかるバグハント 
• Webサイトやソフトウェアの欠陥(脆弱性) 
を探すことをバグハントという 
• 日常的にバグハントをして楽しみや喜びを感じ 
ている人たちのことをバグハンターと呼ぶ 
• バグハントをしていると思わぬところで良いこ...
よくわかるバグハント 
• Webサイトやソフトウェアの欠陥(脆弱性) 
を探すことをバグハントという 
• 日常的にバグハントをして楽しみや快感を感じ 
ている人たちのことをバグハンターと呼ぶ 
• バグハントをしていると思わぬところで良いこ...
バグハントをしたら 
何か良いことがあるの?
バグハントをして得したこと 
脆弱性を報告していただいたもの 
• 報奨金 
• ノベルティグッズ 
• Tシャツ(今着てます) 
• トロフィー 
他にも脆弱性を報告した企業のオフィスに遊び 
に来てもいいよ、と誘っていただけたり…
いただいたノベルティグッズ!
いただいたTシャツ!
いただいたトロフィー!
いただいた報奨金!(イメージです)
バグハントは 
良いことしかないの?
そんなことはない!
間違ったバグハントで 
起こりうるデメリット
間違ったバグハント 
Webサイト編 
• 脆弱性探しについて許可することを明記してい 
ないサイトで脆弱性を探す 
→最悪サイトの運営者から通報されてしまう 
• 脆弱性を発見してその脆弱性の修正前にSNS 
などで脆弱性の情報を流出させる ...
どうすれば…?
正しいバグハントを 
しよう!
正しいバグハント 
Webサイト編 
• 脆弱性専用の窓口があるサイトを探してそこで 
脆弱性探しをする 
→報奨金制度を設けているサイトも! 
• 脆弱性の情報はその脆弱性が修正されるまでど 
んなことがあっても公開しない 
→公開することを...
正しいバグハント 
Webサイト編 
• 脆弱性専用の窓口があるサイトを探してそこで 
脆弱性探しをする 
→報奨金制度を設けているサイトも! 
• 脆弱性の情報はその脆弱性が修正されるまでど 
んなことがあっても公開しない 
→公開することを...
脆弱性報奨金制度 
サイボウズ脆弱性報奨金制度 
• サイボウズが提供するサービスに存在するゼロ 
デイ脆弱性を早期に発見し改修することを目的 
とする制度 
• 脆弱性を発見し報告いただいた方に謝礼として 
報奨金を支払う 
• 1人ずつに完...
脆弱性報奨金制度 
簡単に説明をすると… 
• 攻撃OK(規約に書いている範囲内で) 
• お金がもらえる 
• 誰にも迷惑がかからない
バグハントを始めるなら 
まずはサイボウズ!
※ただし知識をつけてから 
バグハントをしよう
まとめ
まとめ 
• バグハントは面白い! 
• バグハントをすることで思わぬところで良いこ 
とが起きたり 
• バグハントのメリットとデメリットを理解し、 
間違ったバグハントをしないようにする 
• バグハントを始めるならまずはサイボウズ! 
(...
質問 
このスライドを見て少しでもバグハントに興味 
が湧いた人は、この後にでも気軽に質問をしに 
来てください 
Twitterでも可↓ 
• @llamakko_cafe
ご清聴 
ありがとうございました!
Nächste SlideShare
Wird geladen in …5
×

楽しいバグハントの世界

セキュリティ・ミニキャンプ in 東北 2014

  • Loggen Sie sich ein, um Kommentare anzuzeigen.

楽しいバグハントの世界

  1. 1. 楽しいバグハントの世界 セキュリティ・ミニキャンプin 東北2014 2014/09/13(土) @llamakko_cafe
  2. 2. 自己紹介 らまっこ(Llamakko) • @llamakko_cafe • 九州在住の学生 • 見習いバグハンター • XSSの脆弱性が大好き • http://xss.wiki/ • セキュリティキャンプ全国大会2014卒業生
  3. 3. 脆弱性の報告実績 XSSを中心にバグハント中… • Qiita • pixiv • mixi • Ameba • サイボウズ etc...
  4. 4. バグハントって何?
  5. 5. よくわかるバグハント • Webサイトやソフトウェアの欠陥(脆弱性) を探すことをバグハントという • 日常的にバグハントをして楽しみや喜びを感じ ている人たちのことをバグハンターと呼ぶ • バグハントをしていると思わぬところで良いこ とが起きたり?
  6. 6. よくわかるバグハント • Webサイトやソフトウェアの欠陥(脆弱性) を探すことをバグハントという • 日常的にバグハントをして楽しみや快感を感じ ている人たちのことをバグハンターと呼ぶ • バグハントをしていると思わぬところで良いこ とが起きたり?
  7. 7. バグハントをしたら 何か良いことがあるの?
  8. 8. バグハントをして得したこと 脆弱性を報告していただいたもの • 報奨金 • ノベルティグッズ • Tシャツ(今着てます) • トロフィー 他にも脆弱性を報告した企業のオフィスに遊び に来てもいいよ、と誘っていただけたり…
  9. 9. いただいたノベルティグッズ!
  10. 10. いただいたTシャツ!
  11. 11. いただいたトロフィー!
  12. 12. いただいた報奨金!(イメージです)
  13. 13. バグハントは 良いことしかないの?
  14. 14. そんなことはない!
  15. 15. 間違ったバグハントで 起こりうるデメリット
  16. 16. 間違ったバグハント Webサイト編 • 脆弱性探しについて許可することを明記してい ないサイトで脆弱性を探す →最悪サイトの運営者から通報されてしまう • 脆弱性を発見してその脆弱性の修正前にSNS などで脆弱性の情報を流出させる →サイトの運営者から訴えられる可能性
  17. 17. どうすれば…?
  18. 18. 正しいバグハントを しよう!
  19. 19. 正しいバグハント Webサイト編 • 脆弱性専用の窓口があるサイトを探してそこで 脆弱性探しをする →報奨金制度を設けているサイトも! • 脆弱性の情報はその脆弱性が修正されるまでど んなことがあっても公開しない →公開することを忘れるくらいに次々とバグ ハントをしよう!
  20. 20. 正しいバグハント Webサイト編 • 脆弱性専用の窓口があるサイトを探してそこで 脆弱性探しをする →報奨金制度を設けているサイトも! • 脆弱性の情報はその脆弱性が修正されるまでど んなことがあっても公開しない →公開することを忘れるくらいに次々とバグ ハントをしよう!
  21. 21. 脆弱性報奨金制度 サイボウズ脆弱性報奨金制度 • サイボウズが提供するサービスに存在するゼロ デイ脆弱性を早期に発見し改修することを目的 とする制度 • 脆弱性を発見し報告いただいた方に謝礼として 報奨金を支払う • 1人ずつに完全に隔離された検証環境を用意
  22. 22. 脆弱性報奨金制度 簡単に説明をすると… • 攻撃OK(規約に書いている範囲内で) • お金がもらえる • 誰にも迷惑がかからない
  23. 23. バグハントを始めるなら まずはサイボウズ!
  24. 24. ※ただし知識をつけてから バグハントをしよう
  25. 25. まとめ
  26. 26. まとめ • バグハントは面白い! • バグハントをすることで思わぬところで良いこ とが起きたり • バグハントのメリットとデメリットを理解し、 間違ったバグハントをしないようにする • バグハントを始めるならまずはサイボウズ! (要セキュリティの知識)
  27. 27. 質問 このスライドを見て少しでもバグハントに興味 が湧いた人は、この後にでも気軽に質問をしに 来てください Twitterでも可↓ • @llamakko_cafe
  28. 28. ご清聴 ありがとうございました!

×