Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性報奨金制度との付き合い方

Avatar for Atsushi Takayama Atsushi Takayama
July 01, 2017
Technology
5
4.8k

 脆弱性報奨金制度との付き合い方

YAPC::Fukuoka 2017のLTでの発表内容です。
Avatar for Atsushi Takayama

Atsushi Takayama

July 01, 2017
Tweet

More Decks by Atsushi Takayama

See All by Atsushi Takayama
最高の開発者体験の追求が開発生産性を改善し続ける文化を生み出した話
Avatar for Atsushi Takayama edvakf
3
1.3k
NeurIPS 2021 論文読み会: How Modular should Neural Module Networks Be for Systematic Generalization?
Avatar for Atsushi Takayama edvakf
0
170
8年物のJavaのシステムをKotlinに変えていく選択に至るまで
Avatar for Atsushi Takayama edvakf
2
1.1k
ピクシブ社内のImageFlux利用事例紹介
Avatar for Atsushi Takayama edvakf
1
2.8k
学びの文化を育む社内読書会のススメ
Avatar for Atsushi Takayama edvakf
0
270
フルCDNアーキテクチャでサービス設計した話
Avatar for Atsushi Takayama edvakf
5
3.9k
Goでバイナリを読む+α
Avatar for Atsushi Takayama edvakf
1
940
お前はこれまでに作ったAPIの数を覚えているのか?
Avatar for Atsushi Takayama edvakf
0
2.5k
「ふつうのRailsアプリケーション」についての考え方
Avatar for Atsushi Takayama edvakf
2
840

Other Decks in Technology

See All in Technology
データプラットフォーム技術におけるメダリオンアーキテクチャという考え方/DataPlatformWithMedallionArchitecture
Avatar for Masatoshi Shimada smdmts
5
570
AIエージェントの継続的改善のためオブザーバビリティ
Avatar for PharmaX(旧YOJO Technologies)開発チーム pharma_x_tech
6
1.4k
キャディでのApache Iceberg, Trino採用事例 -Apache Iceberg and Trino Usecase in CADDi--
Avatar for recruiting@caddi.jp caddi_eng
0
170
「Chatwork」の認証基盤の移行とログ活用によるプロダクト改善
Avatar for kubell kubell_hr
1
100
AWS アーキテクチャ作図入門/aws-architecture-diagram-101
Avatar for Kohei "Max" MATSUSHITA ma2shita
29
9.5k
25分で解説する「最小権限の原則」を実現するための AWS「ポリシー」大全 / 20250625-aws-summit-aws-policy
Avatar for opelab opelab
7
770
(非公式) AWS Summit Japan と 海浜幕張 の歩き方 2025年版
Avatar for Kosuke ENOMOTO coosuke
PRO
1
340
AIの最新技術&テーマをつまんで紹介&フリートークするシリーズ #1 量子機械学習の入門
Avatar for Takahiro Esaki tkhresk
0
130
A2Aのクライアントを自作する
Avatar for Ryunosuke Iwai rynsuke
1
150
GeminiとNotebookLMによる金融実務の業務革新
Avatar for abenben abenben
0
150
Amazon Bedrockで実現する 新たな学習体験
Avatar for Kazuki Maeda kzkmaeda
1
400
Agentic Workflowという選択肢を考える
Avatar for takuya kikuchi tkikuchi1002
1
390

Featured

See All Featured
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
179
9.8k
Done Done
Avatar for chrislema chrislema
184
16k
Code Review Best Practice
Avatar for Trisha Gee trishagee
68
18k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
245
12k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
328
39k
Scaling GitHub
Avatar for Zach Holman holman
459
140k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
231
18k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
233
140k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
16
940
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
107
19k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
299
51k

Transcript

  1. ੬ऑੑใ঑੍ۚ౓ͱͷ ෇͖߹͍ํ YAPC::Fukuoka LT

  2. ࣗݾ঺հ ߴࢁ @edvakf ϐΫγϒגࣜձࣾ CTO ݉ ෱ԬΦϑΟε্ཱͪ͛୲౰

  3. None

  4. ຊεϥΠυͰ͸BugBounty.jpʹ͍ͭͯଟ͘ݴٴ͠ ͍ͯ·͕͢ɺ୯ͳΔ1Ϣʔβʔͱͯ͠ͷҙݟͰ͋ ΓɺͦΕҎ্ͷར֐ؔ܎͸·ͬͨ͋͘Γ·ͤΜ

  5. Τϥ͍ਓ ʮηΩϡϦςΟϦεΫͱ͔ා͍͠ɺ ଟগख͔͚ؒͯ΋͍͍͔Βઈର҆શʹ΍ͬͯͶʯ

  6. ηΩϡϦςΟϦεΫΛݮΒ͍ͨ͠ ܦӦऀ΋ݱ৔΋ɺηΩϡϦςΟΛܰࢹ͍ͨ͠ͱ͸ ࢥͬͯͳ͍ ηΩϡϦςΟʹ͔͚Δ΂͖ద੾ͳίετ͕Θ͔Βͳ ͍ 100%Λ໨ࢦͦ͏ͱ͢Δͱແݶʹίετ͕͔͔Δ ։ൃ଎౓Λ٘ਜ਼ʹͨ͘͠ͳ͍

  7. ԑ͋ͬͯɺpixivͰ͸ BugBounty.jpΛར༻͢Δ͜ͱʹͳΓ·ͨ͠

  8. BugBounty.jpͳΒͰ͸ͷར఺

  9. ಋೖίετ͕ݶΓͳ͘௿͍ ੬ऑੑใࠂ૭ޱͳͲͷγεςϜΛ࡞Βͳͯ͘ྑ͍ ηΩϡϦςΟ୲౰ऀ΍ઐ೚νʔϜΛ࡞Βͳͯ͘΋ ࢝ΊΒΕΔ ʢཁ߲΋΄΅ؙ౤͛ͯ͠࡞ͬͯ΋Βͬͨʣ

  10. ৼΓࠐΈ·ΘΓΛؙ౤͛Ͱ͖Δ ϖʔύʔϫʔΫͱ͔ ւ֎ૹۚͱ͔ د෇ۚʹ·ͭΘΔ๏཯ͱ͔ →ߟ͑ͨ͘ͳ͍ʂʂ

  11. ੬ऑੑใ঑ۚӡ༻৬ਓͷ ͓࢓ࣄ

  12. ใࠂͷਫ਼ࠪ ࠶ݱ͢Δ͔ ߈ܸ͸༰қ͔ Өڹൣғ͸Ͳͷ͙Β͍͔ ཁ߲Λຬ͍ͨͯ͠Δ͔ աڈͷใࠂͱॏෳͰͳ͍͔ मਖ਼ͷํ਑ΛཱͯͯissueԽ ؆୯ͳΒͦͷ৔Ͱमਖ਼ લճཱͯͨissueͰٞ࿦͕ਐΜͰ͍ Ε͹ࢀՃ

    ใ঑ֹۚͷܾఆʢޙड़ʣ ใ঑ֹۚදͷߋ৽ ಺෦Ͱͬ͘͟ΓܾΊ͍ͯΔ ຊ౰͸ެ։ͨ͠΄͏͕ྑ͍ͱࢥ͏ ج४ͷमਖ਼ ੬ऑੑͰͳ͍΋ͷ͸ج४Ͱ໌֬Խ ͨ͠΄͏͕਌੾ ͳ͔ͳ͔Ͱ͖͍ͯͳ͍

  13. ͦΕͳΓʹߴ౓ͳ൑அ͕ඞཁ

  14. ݱࡏ͸୲౰ऀ2ਓʢCTOͱϦʔυΤϯδχΞʣͰ
 िʹ1࣌ؒఔ౓Λׂ͍͍ͯΔ ଞνʔϜʹमਖ਼Λཁٻ͍ͯ͘͠ύϫʔ΋ඞཁ ͜ΕҎ্ͷใࠂΛॲཧ͢Δʹ͸ࣾ಺ͷମ੍Λ΋͏ ͪΐͬͱ੔͑ͳ͍ͱ͍͚ͳ͍͔ͳͱ͍͏ॴײ →࠷ॳద౰ʹܾΊͨใ঑͕ۚͩͬͨɺใࠂΛ૿΍ ͨ͢ΊʹҰ౓Ҿ্͖͛ͨ

  15. ద੾ͳใ঑ֹۚΛܾΊΔ

  16. ʮ߈ܸ͢ΔΑΓใࠂͨ͠΄͏͕ ཧʹ͔ͳ͏ఔ౓ʯ

  17. ͸ແཧے

  18. ϐΫγϒͰ͸

  19. ձࣾͱͯ͠ద੾ͱࢥ͏ൣғͰ্ݶઃఆ͢Ε͹ྑ͍ ηΩϡϦςΟϦεΫ͸اۀͷϒϥϯυ΍ѻ͍ͬͯΔ σʔλʹΑ༷ͬͯʑͳͷͰ ։ൃମ੍ͷதͰରԠ͍͚ͯ͠Δͪΐ͏Ͳྑ͍ྔͷใ ࠂ͕དྷΔΑ͏ʹɺधཁͱڙڅͷόϥϯεΛऔΔ िʹ਺݅ ࣾ಺᜛ٞͱͯ͠͸ɺʮຖ݄͍͍ͩͨ͜ͷ͙Β͍ͷۚ ֹͰ΍Γ·͢ʯͱ͍͏಺༰ʹͳ͍ͬͯΔ

  20. ಺෦తͳʮ͓͓Αͦͷج४ʯΛܾΊͯɺͦΕͱͷ
 ૬ରతͳൺֱͰใ঑ֹۚΛܾఆ͍ͯ͠Δ ج४Λެ։͠ɺߋ৽͍ͯͬͨ͠΄͏͕ใࠂऀʹ਌੾ ʢͰ͖ͯͳ͍ʣ CVSSΛࢀߟʹͯ͠΋Α͍ʢͯ͠ͳ͍ʣ https://www.ipa.go.jp/security/vuln/CVSSv3.html

  21. ଞͷྫʢGoogleʣ https://www.google.com/about/appsecurity/reward-program/

  22. ใࠂͷ಺༁

  23. શใࠂͷ͏ͪɺ60ʙ70%Λ੬ऑੑೝఆ͠ɺͦͷ಺༁ʢॴײʣ͸ ϩάΠϯ΍ηογϣϯʹ·ͭΘΔ࢓༷ͷෆඋɿ20% ΦʔϓϯϦμΠϨΫλ΍ΫϦοΫδϟοΩϯάͷΑ͏ͳɺϑΟο γϯάʹܨ͕Δ੬ऑੑʢʁʣɿ20% HTTPϔομʔͷෆඋ౳ɿ20% ϑϨʔϜϫʔΫ౳ͷط஌ͷ੬ऑੑɿ10% XSSͳͲɿ10% ͦͷଞɿ20%

  24. ਖ਼௚໘౗ͳέʔε΋͋Δ

  25. ݒ೦΋ແ͘͸ͳ͍

  26. ࣾ಺ͷਓ͕ಗ໊Ͱ੬ऑੑใࠂ͖ͯͨ͠Β… γεςϜతʹ͸๷͛ͳͦ͞͏

  27. ͱ͸͍͑ɺ ͱͯ΋ࢀߟʹͳΔใࠂ΋

  28. 1೥΍͖ͬͯͯɺ࠷ߴֹۚΛ෷ͬͨͷ͸4ճ pngʹِ૷ͨ͠psϑΝΠϧΛʢ͝ʹΐ͝ʹΐʣ ಛఆͷURLΛ։͔ͤΔ͚ͩͰʢ΋͝΋͝ʣ ଞਓͷอଘͨ͠σʔλΛʢ͛;Μ͛;Μʣ Flash༻ͷݹ͍APIͰʢ͋ʔ͏ʔʣ

  29. ใࠂऀ΁ͷଚܟ͸ॏཁ

  30. ·ͨใࠂ͍ͨ͠ɺͱࢥͬͯ΋Β͏ͨΊʹ ͳΔ΂͘ૣͯ͘త֬ͳฦ৴Λ৺͕͚Δ ੬ऑੑͰ͸ͳ͍ͱ൑அͨ͠ΓɺॏෳͰ͋ͬͯ΋ɺ ࢀߟʹͳͬͨ৔߹͸ੵۃతʹใ঑ۚΛࢧ෷͏ ࣦྱʹͳΒͳ͍ݴ༿ݣ͍ ใࠂͷ൒෼͙Β͍͸ӳޠͳͷͰɺӳޠͰͷద੾ ͳදݱʹ໎͏͜ͱ͕͋Δ

  31. ·ͱΊ

  32. BugBounty.jpΛ࢖ͬͯॳظίετΛ཈͑ͯ੬ऑੑใ঑ ੍ۚ౓Λ࢝Ί·ͨ͠ ӡ༻ͷखؒ͸ͦΕͳΓʹ͔͔͍ͬͯΔ ͱݴͬͯ΋ਫ਼͕ࠪि1࣌ؒఔ౓+मਖ਼ίετ͙Β͍ ใ঑ֹۚ͸ɺग़ͤΔൣғ+ॲཧͰ͖ΔൣғͰ΍Δͷ͕ ྑ͍ͷͰ͸ ใࠂऀͷํʑʹ͸େมײँ͍ͯ͠·͢