Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性報奨金制度との付き合い方

Avatar for Atsushi Takayama Atsushi Takayama
July 01, 2017
Technology
4.9k
5

 脆弱性報奨金制度との付き合い方

YAPC::Fukuoka 2017のLTでの発表内容です。

Avatar for Atsushi Takayama

Atsushi Takayama

July 01, 2017

More Decks by Atsushi Takayama

See All by Atsushi Takayama
最高の開発者体験の追求が開発生産性を改善し続ける文化を生み出した話
Avatar for Atsushi Takayama edvakf
3
1.6k
NeurIPS 2021 論文読み会: How Modular should Neural Module Networks Be for Systematic Generalization?
Avatar for Atsushi Takayama edvakf
0
220
8年物のJavaのシステムをKotlinに変えていく選択に至るまで
Avatar for Atsushi Takayama edvakf
2
1.1k
ピクシブ社内のImageFlux利用事例紹介
Avatar for Atsushi Takayama edvakf
2
3k
学びの文化を育む社内読書会のススメ
Avatar for Atsushi Takayama edvakf
0
310
フルCDNアーキテクチャでサービス設計した話
Avatar for Atsushi Takayama edvakf
5
4.1k
Goでバイナリを読む+α
Avatar for Atsushi Takayama edvakf
1
1k
お前はこれまでに作ったAPIの数を覚えているのか?
Avatar for Atsushi Takayama edvakf
0
2.7k
「ふつうのRailsアプリケーション」についての考え方
Avatar for Atsushi Takayama edvakf
2
930

Other Decks in Technology

See All in Technology
需要創出(Chatwork)×供給(BPaaS) フライホイールとMoat 実行能力の最適配置とAI戦略
Avatar for kubell kubell_hr
0
840
独断と偏見で試してみる、 シングル or マルチエージェント どっちがいいの?
Avatar for ShichijoYuhi shichijoyuhi
1
130
The Journey of Box Building
Avatar for Satoshi Tagomori tagomoris
4
3.4k
Do Vibe Coding ao LLM em Produção para Busca Agêntica - TDC 2026 - Summit IA - São Paulo
Avatar for Jessica Pauli de C Bonson jpbonson
3
150
生成AIが変える SaaS の競争原理と弁護士ドットコムのプロダクト戦略
Avatar for 弁護士ドットコム bengo4com
1
2.3k
バイブコーディングで3倍早く⚪⚪を作ってみた
Avatar for Sam Akada samakada
0
120
AWS DevOps Agentはチームメイトになれるのか?/ Can AWS DevOps Agent become a teammate
Avatar for Masanori Yamaguchi kinunori
6
770
Keeping Ruby Running on Cygwin
Avatar for fd0 fd0
0
180
Oracle AI Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
4
2.4k
AIコーディング時代における、ソフトウェアサプライチェーン攻撃に対する防衛術(簡易版)
Avatar for D soysoysoyb
0
130
目的ファーストのハーネス設計 ~ハーネスの変更容易性を高めるための優先順位~
Avatar for Gota gotalab555
8
2.4k
AI: Making Admin and Users, Lives Better
Avatar for Keith Brooks kbmsg
0
110

Featured

See All Featured
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
130
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
6.1k
The Language of Interfaces
Avatar for Des Traynor destraynor
162
26k
A Soul's Torment
Avatar for Nat Ma seathinner
6
2.7k
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
65
55k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
38
2.8k
Marketing Yourself as an Engineer | Alaka | Gurzu
Avatar for Gurzu gurzu
0
180
Applied NLP in the Age of Generative AI
Avatar for Ines Montani inesmontani
PRO
4
2.2k
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
2
340
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
432
67k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k

Transcript

  1. ੬ऑੑใ঑੍ۚ౓ͱͷ ෇͖߹͍ํ YAPC::Fukuoka LT

  2. ࣗݾ঺հ ߴࢁ @edvakf ϐΫγϒגࣜձࣾ CTO ݉ ෱ԬΦϑΟε্ཱͪ͛୲౰

  3. None

  4. ຊεϥΠυͰ͸BugBounty.jpʹ͍ͭͯଟ͘ݴٴ͠ ͍ͯ·͕͢ɺ୯ͳΔ1Ϣʔβʔͱͯ͠ͷҙݟͰ͋ ΓɺͦΕҎ্ͷར֐ؔ܎͸·ͬͨ͋͘Γ·ͤΜ

  5. Τϥ͍ਓ ʮηΩϡϦςΟϦεΫͱ͔ා͍͠ɺ ଟগख͔͚ؒͯ΋͍͍͔Βઈର҆શʹ΍ͬͯͶʯ

  6. ηΩϡϦςΟϦεΫΛݮΒ͍ͨ͠ ܦӦऀ΋ݱ৔΋ɺηΩϡϦςΟΛܰࢹ͍ͨ͠ͱ͸ ࢥͬͯͳ͍ ηΩϡϦςΟʹ͔͚Δ΂͖ద੾ͳίετ͕Θ͔Βͳ ͍ 100%Λ໨ࢦͦ͏ͱ͢Δͱແݶʹίετ͕͔͔Δ ։ൃ଎౓Λ٘ਜ਼ʹͨ͘͠ͳ͍

  7. ԑ͋ͬͯɺpixivͰ͸ BugBounty.jpΛར༻͢Δ͜ͱʹͳΓ·ͨ͠

  8. BugBounty.jpͳΒͰ͸ͷར఺

  9. ಋೖίετ͕ݶΓͳ͘௿͍ ੬ऑੑใࠂ૭ޱͳͲͷγεςϜΛ࡞Βͳͯ͘ྑ͍ ηΩϡϦςΟ୲౰ऀ΍ઐ೚νʔϜΛ࡞Βͳͯ͘΋ ࢝ΊΒΕΔ ʢཁ߲΋΄΅ؙ౤͛ͯ͠࡞ͬͯ΋Βͬͨʣ

  10. ৼΓࠐΈ·ΘΓΛؙ౤͛Ͱ͖Δ ϖʔύʔϫʔΫͱ͔ ւ֎ૹۚͱ͔ د෇ۚʹ·ͭΘΔ๏཯ͱ͔ →ߟ͑ͨ͘ͳ͍ʂʂ

  11. ੬ऑੑใ঑ۚӡ༻৬ਓͷ ͓࢓ࣄ

  12. ใࠂͷਫ਼ࠪ ࠶ݱ͢Δ͔ ߈ܸ͸༰қ͔ Өڹൣғ͸Ͳͷ͙Β͍͔ ཁ߲Λຬ͍ͨͯ͠Δ͔ աڈͷใࠂͱॏෳͰͳ͍͔ मਖ਼ͷํ਑ΛཱͯͯissueԽ ؆୯ͳΒͦͷ৔Ͱमਖ਼ લճཱͯͨissueͰٞ࿦͕ਐΜͰ͍ Ε͹ࢀՃ

    ใ঑ֹۚͷܾఆʢޙड़ʣ ใ঑ֹۚදͷߋ৽ ಺෦Ͱͬ͘͟ΓܾΊ͍ͯΔ ຊ౰͸ެ։ͨ͠΄͏͕ྑ͍ͱࢥ͏ ج४ͷमਖ਼ ੬ऑੑͰͳ͍΋ͷ͸ج४Ͱ໌֬Խ ͨ͠΄͏͕਌੾ ͳ͔ͳ͔Ͱ͖͍ͯͳ͍

  13. ͦΕͳΓʹߴ౓ͳ൑அ͕ඞཁ

  14. ݱࡏ͸୲౰ऀ2ਓʢCTOͱϦʔυΤϯδχΞʣͰ
 िʹ1࣌ؒఔ౓Λׂ͍͍ͯΔ ଞνʔϜʹमਖ਼Λཁٻ͍ͯ͘͠ύϫʔ΋ඞཁ ͜ΕҎ্ͷใࠂΛॲཧ͢Δʹ͸ࣾ಺ͷମ੍Λ΋͏ ͪΐͬͱ੔͑ͳ͍ͱ͍͚ͳ͍͔ͳͱ͍͏ॴײ →࠷ॳద౰ʹܾΊͨใ঑͕ۚͩͬͨɺใࠂΛ૿΍ ͨ͢ΊʹҰ౓Ҿ্͖͛ͨ

  15. ద੾ͳใ঑ֹۚΛܾΊΔ

  16. ʮ߈ܸ͢ΔΑΓใࠂͨ͠΄͏͕ ཧʹ͔ͳ͏ఔ౓ʯ

  17. ͸ແཧے

  18. ϐΫγϒͰ͸

  19. ձࣾͱͯ͠ద੾ͱࢥ͏ൣғͰ্ݶઃఆ͢Ε͹ྑ͍ ηΩϡϦςΟϦεΫ͸اۀͷϒϥϯυ΍ѻ͍ͬͯΔ σʔλʹΑ༷ͬͯʑͳͷͰ ։ൃମ੍ͷதͰରԠ͍͚ͯ͠Δͪΐ͏Ͳྑ͍ྔͷใ ࠂ͕དྷΔΑ͏ʹɺधཁͱڙڅͷόϥϯεΛऔΔ िʹ਺݅ ࣾ಺᜛ٞͱͯ͠͸ɺʮຖ݄͍͍ͩͨ͜ͷ͙Β͍ͷۚ ֹͰ΍Γ·͢ʯͱ͍͏಺༰ʹͳ͍ͬͯΔ

  20. ಺෦తͳʮ͓͓Αͦͷج४ʯΛܾΊͯɺͦΕͱͷ
 ૬ରతͳൺֱͰใ঑ֹۚΛܾఆ͍ͯ͠Δ ج४Λެ։͠ɺߋ৽͍ͯͬͨ͠΄͏͕ใࠂऀʹ਌੾ ʢͰ͖ͯͳ͍ʣ CVSSΛࢀߟʹͯ͠΋Α͍ʢͯ͠ͳ͍ʣ https://www.ipa.go.jp/security/vuln/CVSSv3.html

  21. ଞͷྫʢGoogleʣ https://www.google.com/about/appsecurity/reward-program/

  22. ใࠂͷ಺༁

  23. શใࠂͷ͏ͪɺ60ʙ70%Λ੬ऑੑೝఆ͠ɺͦͷ಺༁ʢॴײʣ͸ ϩάΠϯ΍ηογϣϯʹ·ͭΘΔ࢓༷ͷෆඋɿ20% ΦʔϓϯϦμΠϨΫλ΍ΫϦοΫδϟοΩϯάͷΑ͏ͳɺϑΟο γϯάʹܨ͕Δ੬ऑੑʢʁʣɿ20% HTTPϔομʔͷෆඋ౳ɿ20% ϑϨʔϜϫʔΫ౳ͷط஌ͷ੬ऑੑɿ10% XSSͳͲɿ10% ͦͷଞɿ20%

  24. ਖ਼௚໘౗ͳέʔε΋͋Δ

  25. ݒ೦΋ແ͘͸ͳ͍

  26. ࣾ಺ͷਓ͕ಗ໊Ͱ੬ऑੑใࠂ͖ͯͨ͠Β… γεςϜతʹ͸๷͛ͳͦ͞͏

  27. ͱ͸͍͑ɺ ͱͯ΋ࢀߟʹͳΔใࠂ΋

  28. 1೥΍͖ͬͯͯɺ࠷ߴֹۚΛ෷ͬͨͷ͸4ճ pngʹِ૷ͨ͠psϑΝΠϧΛʢ͝ʹΐ͝ʹΐʣ ಛఆͷURLΛ։͔ͤΔ͚ͩͰʢ΋͝΋͝ʣ ଞਓͷอଘͨ͠σʔλΛʢ͛;Μ͛;Μʣ Flash༻ͷݹ͍APIͰʢ͋ʔ͏ʔʣ

  29. ใࠂऀ΁ͷଚܟ͸ॏཁ

  30. ·ͨใࠂ͍ͨ͠ɺͱࢥͬͯ΋Β͏ͨΊʹ ͳΔ΂͘ૣͯ͘త֬ͳฦ৴Λ৺͕͚Δ ੬ऑੑͰ͸ͳ͍ͱ൑அͨ͠ΓɺॏෳͰ͋ͬͯ΋ɺ ࢀߟʹͳͬͨ৔߹͸ੵۃతʹใ঑ۚΛࢧ෷͏ ࣦྱʹͳΒͳ͍ݴ༿ݣ͍ ใࠂͷ൒෼͙Β͍͸ӳޠͳͷͰɺӳޠͰͷద੾ ͳදݱʹ໎͏͜ͱ͕͋Δ

  31. ·ͱΊ

  32. BugBounty.jpΛ࢖ͬͯॳظίετΛ཈͑ͯ੬ऑੑใ঑ ੍ۚ౓Λ࢝Ί·ͨ͠ ӡ༻ͷखؒ͸ͦΕͳΓʹ͔͔͍ͬͯΔ ͱݴͬͯ΋ਫ਼͕ࠪि1࣌ؒఔ౓+मਖ਼ίετ͙Β͍ ใ঑ֹۚ͸ɺग़ͤΔൣғ+ॲཧͰ͖ΔൣғͰ΍Δͷ͕ ྑ͍ͷͰ͸ ใࠂऀͷํʑʹ͸େมײँ͍ͯ͠·͢