Upgrade to Pro — share decks privately, control downloads, hide ads and more …

実践的なバグバウンティ入門 (2025年版)

実践的なバグバウンティ入門 (2025年版)

「P3NFEST 2025 Winter」で行われたハンズオン講座の一般公開用スライドです。
- https://issuehunt.jp/events/2025/winter/p3nfest

morioka12

March 14, 2025
Tweet

More Decks by morioka12

Other Decks in Technology

Transcript

  1. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 2 本講座の注意点 免責事項・注意事項 • 本資料は、発表者の個人的な見解に基づいて作成されており、 所属組織の見解を代表するものではありません。

    • 本資料は、セキュリティに関する知見を広く共有する目的で 作成されており、悪用行為を推奨するものではありません。 • 本資料は、 外部公開禁止 とします。 (受講生のみ閲覧可 )  公開版 ◦ SNSで感想等をつぶやくことは可とします。 ◦ ハッシュタグ: #P3NFEST • 完全版:177ページ • 公開版:95ページ
  2. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 4 講師の自己紹介 簡単なプロフィール • 氏名:森岡 優太

    (Yuta Morioka) ◦ SNS:morioka12 (@scgajge12) • 職歴:セキュリティエンジニア (24卒) ◦ WebやCloudなどの脆弱性診断:約3年 (2020~2023) ◦ Webペネトレーションテスト:約2年 (2023~現在) • 運営: ◦ Bug Bounty JP Podcast (ホスト & スピーカー) ◦ セキュリティ若手の会 (創設メンバー) • その他:Bug Bounty Hunter since 2020 https://scgajge12.github.io/
  3. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 5 本イベント「 P3NFEST」 P3NFEST との関わり 1.

    2024年2月 P3NFEST Conf 2024:登壇 2. 2024年8月 P3NFEST 2024 Summer:講師 (受講生:21人) 3. 2025年3月 P3NFEST 2025 Winter:講師 (受講生:26人) ←今回
  4. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 7 バグバウンティ歴 (これまで) 欧州 No1 バグバウンティプラットフォーム「

    Intigriti」 • 2020年3月:バグバウンティで脆弱性を探し始める (デビュー) ◦ 3月3日:初の脆弱性認定 (報酬金なし) ◦ 3月23日:初の報酬金獲得 (€250, 約3万円) • 2020年4月:Intigriti の全体ランキング Top 100 入り (83位) • 2022年4月:初の Critical な脆弱性認定 (CVSS score 9.1) • 2024年2月:初の Exceptional な脆弱性認定 (CVSS score 9.8) • 2024年3月:Intigriti の月間ランキング Top 10 入り (6位) • 2024年4月:Intigriti の四半期ランキング Top 20 入り (17位, 受賞) https://scgajge12.github.io/bb/
  5. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 9 ポッドキャスト「 Bug Bounty JP Podcast」

    日本人バグハンター 3人によるセキュリティ雑談 Podcast https://bugbountyjppodcast.notion.site/Bug-Bounty-JP-Podcast-8bf1080383a54c4a8848f10bfeb874b3
  6. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 10 本スライドのレビュアー 簡単な自己紹介 • 新月 (@fubukiyokiyoki)

    • SecHack365 2024年度:優秀修了 • 第2回 セキュリティ若手の会( LT&交流会): LT発表 • 最近はCTF, HTB, BugBountyがメイン • お家40GbE始めました https://x.com/fubukiyokiyoki
  7. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 12 本イベントの概要 P3NFEST (ペンフェスト ) •

    学生のためのサイバーセキュリティカンファレンス ◦ 主催:IssueHunt株式会社 • 豪華登壇者による講演や脆弱性診断入門等のハンズオン講座を提供。 現地参加学生に交通費を支給! • 日本国内の学生に対してカンファレンスやバグバウンティを通じて「様々なセ キュリティキャリア」をより身近なものとするべく、開催。 https://issuehunt.jp/events/2025/winter/p3nfest
  8. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 14 本講座の概要 『実践的なバグバウンティ入門 (2025年版)』 本講座では、バグバウンティにおける初期調査と脆弱性調査の方法 を

    ハンズオン形式で実施します。 特にバグハンターの視点 で、実際のバグバウンティの対象に対して、 どういう情報を収集したり 、どういう観点で調査するか などのポイントを 押さえながら、一緒に体験していただきます。 また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に限定してWebセ キュリティの要素 のみを取り扱います。 本講座で扱う脆弱性やJavaScriptなどの基礎知識は、受講生に事前学習として 資料を共有する予定です。
  9. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 16 本講座の主軸 全体的に話すこと・話さないこと • ⚪取り上げる話 ◦

    視点:バグバウンティで脆弱性を探す側 (バグハンター) ◦ 対象:ドメイン (WebサイトやWebアプリケーション) ◦ レベル:入門者向け • × 取り上げない話 ◦ 視点:バグバウンティを導入したり運用したりする企業側 ◦ 対象:スマホアプリやソフトウェアなど ◦ レベル:中堅者以上向け
  10. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 17 タイムテーブル (120分) • 10:00 ~

    10:10 (10分) 前置き + 本題 • 10:10 ~ 10:20 (10分) バグバウンティの概要 • 10:20 ~ 10:30 (10分) 規約・ルールの把握 • 10:30 ~ 10:50 (20分) 初期調査編 • 10:50 ~ 11:00 (10分) 休憩 + 自習 • 11:00 ~ 11:40 (40分) 脆弱性調査編 • 11:40 ~ 11:45 (5分)  レポートの作成方法 • 11:45 ~ 11:50 (5分)  まとめ • 11:50 ~ 12:00 (10分) Q&A
  11. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 18 タイムテーブル (120分) • 10:00 ~

    10:10 (10分) 前置き + 本題 • 10:10 ~ 10:20 (10分) バグバウンティの概要 • 10:20 ~ 10:30 (10分) 規約・ルールの把握 • 10:30 ~ 10:50 (20分) 初期調査編 • 10:50 ~ 11:00 (10分) 休憩 + 自習 • 11:00 ~ 11:40 (40分) 脆弱性調査編 • 11:40 ~ 11:45 (5分)  レポートの作成方法 • 11:45 ~ 11:50 (5分)  まとめ • 11:50 ~ 12:00 (10分) Q&A
  12. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 20 バグバウンティ バグバウンティ (Bug Bounty, 脆弱性報奨金制度

    ) • 許可されたリアルワールドの製品やサービスに対して脆弱性を調査し、報告さ れた脆弱性に対して報奨金が支払われる制度のこと。
  13. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 21 バグバウンティ バグバウンティプラットフォーム (Bug Bounty Platform)

    • バグバウンティを導入したい企業と脆弱性を探すバグハンターを 仲介して、運営するプラットフォームのこと。 バグハンター 仲介役 導入企業
  14. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 24 バグバウンティ バグバウンティを導入している有名企業 (例: HackerOne)      日系企業

    • ピクシブ • LINEヤフー • トヨタ自動車 • ソニー • 任天堂 • スターバックス・ジャパン        海外企業 • X (Twitter) • Slack • GitHub • PayPal • Amazon • PlayStation • アメリカ合衆国国防総省 • Uber • Spotify • TikTok • Figma • Visa • Netflix • LinkedIn https://hackerone.com/bug-bounty-programs
  15. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 25 バグバウンティ 「P3NFEST Bug Bounty 2025

    Winter」の参加企業 • 日本経済新聞社 • サイバーエージェント • サイボウズ • KINTOテクノロジーズ • コインチェック • LIFULL • Helpfeel • シンクロ・フード • ヌーラボ • ファインディ • ENECHANGE • Qiita • GMW • ソラコム • Sansan • Finatextホールディングス https://issuehunt.jp/events/2025/winter/p3nfestbugbounty
  16. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 26 バグバウンティ バグバウンティプラットフォームにおけるプログラムの種類 • BBP (Bug

    Bounty Program) ◦ 脆弱性レポートに対して危険度に合わせて報奨金が支払われる プログラム • VDP (Vulnerability Disclosure Program) ◦ 脆弱性報告窓口の役割なプログラム ◦ 脆弱性レポートに対して報奨金が支払われない ▪ プログラムによっては企業の限定グッズ(Swag)を提供したりする ▪ BBPに比べてバグハンターの競争率が低い傾向あり
  17. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 27 バグバウンティ バグバウンティプログラムの種類 • パブリックプログラム (Public

    Program) ◦ 誰でも参加して取り組むことが可能なプログラム • プライベートプログラム (Private Program) ◦ 一部の招待された者のみ 取り組むことが可能なプログラム ▪ パブリックプログラムより競争率が低い傾向あり
  18. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 28 バグバウンティ バグバウンティの特徴 • 「報奨金」 は1件の脆弱性に対して第一報告者のみに支払われる点

    脆弱性レポートの判定 (トリアージ ) • Accept:第一報告で脆弱性認定 (報奨金あり) • Duplicate:既に報告されている重複な報告 (報奨金なし) • Informative:参考情報程度でリスク無しな報告
  19. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 29 バグバウンティ バグバウンティプラットフォームのランキング制度 • バグハンターの活動を評価して可視化された仕組み ◦

    ランキングの要素 ▪ 報告した脆弱性の数や危険度, 報告書の質 ◦ ランキングの種類 ▪ 総合ランキング(全期間), 期間別ランキング(月間,四半期,年間) ◦ ランキングのメリット ▪ モチベーションの向上, スキルアップ, 認知度の向上, 評価軸 • ランキングを「リーダーボード (Leaderboard)」という
  20. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 31 バグバウンティハンター 脆弱性を探して報告する者 • バグハンター (Bug

    Hunter) ◦ 脆弱性を探して報告する人のこと • バグバウンティハンター (Bug Bounty Hunter) ◦ バグバウンティプログラムを対象に脆弱性を探して 報告することで報奨金を獲得する人のこと ▪ 本業バグバウンティハンター:Full-time Bug Bounty Hunter         本講座では統一して「バグハンター」と称します。
  21. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 32 バグバウンティハンター [HackerOneの調査結果 ] バグバウンティで脆弱性を探す動機 1.

    挑戦するため (チャレンジ, 腕試し) 2. お金を稼ぐため 3. 知見やテクニックを学ぶため 4. 楽しむため 5. キャリアアップのため https://scgajge12.hatenablog.com/entry/bug_bounty_hunter_report
  22. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 33 バグバウンティ業界 (プラットフォーム版 ) 一般的なバグハンターのレベル感 (総額)

    1. 初心者レベル a. 0ドル〜500ドルの獲得 (目安:0円〜10万円) 2. 初級者レベル a. 500ドル〜1,000ドルの獲得 (目安:10万円〜15万円) 3. 中級者レベル a. 1,000ドル〜10,000ドルの獲得 (目安:15万円〜150万円) 4. 上級者レベル a. 10,000ドル〜100,000ドルの獲得 (目安:150万円〜1500万円) 5. プロレベル a. 100,000ドル以上の獲得 (目安:1500万円以上) 「達人レベル 」は... 100万ドル以上 (1億円以上) (4億円以上獲得してる人もいる )
  23. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 34 バグバウンティ業界 (プラットフォーム版 ) 有名記事「初の 100万ドル稼いだバグハンター

    (2019)」の要約 • HackerOneで初めて総額100万ドルを稼いだ19歳の男性 (アルゼンチン人) ◦ 取り組み期間:2016年〜2019年 ◦ 報告件数:1,670件 • 2015年の16歳から独学でサイバーセキュリティの勉強を始めた • 2016年の17歳の時に見つけたCSRFで初めて50ドルの報酬金を獲得した • 1件の最大報酬金額はSSRFで9,000ドルの報酬金を獲得した • Santiago Lopez (try_to_hack) ◦ https://hackerone.com/try_to_hack https://www.hackerone.com/company-news/trytohack-makes-history-first-bug-bounty-hacker-earn-over-1-million
  24. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 35 バグバウンティ バグバウンティの醍醐味 (個人の感想 ) •

    許可の上でリアルワールドの製品やサービス に対して脆弱性を探して良い点 ◦ 規約の範囲内で実際の脅威を示せるところまで深ぼって調査や検証をして良い点 ◦ 好きな時間に好きな場所で探したいプログラム の対象に対して取り組める点 ◦ 事業者や利用者へのセキュリティ貢献に繋がる点 (世の中のためになる点) • 他の人がまだ見つけていない脆弱性を見つけられるかの実力勝負な点 ◦ (これには運や戦略も多少の影響あり ) • 対価として報奨金やプラットフォーム内のポイント(評価)が貰える点 ◦ 対外的に成果が個人の実績となる点 ポイント
  25. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 36 タイムテーブル (120分) • 10:00 ~

    10:10 (10分) 前置き + 本題 • 10:10 ~ 10:20 (10分) バグバウンティの概要 • 10:20 ~ 10:30 (10分) 規約・ルールの把握 • 10:30 ~ 10:50 (20分) 初期調査編 • 10:50 ~ 11:00 (10分) 休憩 + 自習 • 11:00 ~ 11:40 (40分) 脆弱性調査編 • 11:40 ~ 11:45 (5分)  レポートの作成方法 • 11:45 ~ 11:50 (5分)  まとめ • 11:50 ~ 12:00 (10分) Q&A
  26. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 38 バグバウンティプラットフォームの規約 行動規範 (Code of Conduct,

    CoC) • プラットフォームにおいて バグハンターが守るべき行動の基準やルールを定めたもの ◦ 倫理, 道徳, 法律, 社会規範, 価値観などに基づいて作成されている         大前提として取り組む上でとても大切なこと!
  27. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 39 バグバウンティプラットフォームの規約 行動規範 (Code of Conduct,

    CoC):一部記載 • 非専門的な行為 (Unprofessional Behavior) ◦ プラットフォーム上でのやり取りは、 常に敬意を持って、 プロフェッショナルな態度と口調で行うようにしてください。 • サービスの低下 /安全でないテスト (Service Degradation/Unsafe Testing) ◦ バグハンターは、事前に許可なく安全でないテストを実行しては いけません。 ▪ 顧客情報に過剰にアクセスする, 実際のデータベースを抽出する, ... ◦ 各プログラムのテストポリシーを要確認すること。
  28. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 40 バグバウンティプラットフォームの規約 行動規範 (Code of Conduct,

    CoC):一部記載 • 不正開示 - プライベートプログラム (Unauthorized Disclosure) ◦ 各プライベートプログラムの存在を公開してはいけません。 • 協調されていない脆弱性開示 - 公開プログラム           (Uncoordinated Vulnerability Disclosure) ◦ 許可なく脆弱性に関する情報を開示してはいけません。 • ソーシャルエンジニアリング (Social Engineering) ◦ 許可なく他人になりすまして、 ソーシャルエンジニアリングをしてはいけません。
  29. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 41 バグバウンティプラットフォームの規約 行動規範 (Code of Conduct,

    CoC):一部記載 • 違法または偽装ソフトウェアの使用 (Using illegal or counterfeit software) ◦ バグハンターが使用するツールについて単独で責任を負ってください。 ◦ 違法または偽造ソフトウェアのツールが禁止されています。 • 恐喝/脅迫 (Extortion/Blackmail) ◦ 強制によって賞金・金銭、またはサービスを得ようとしてはいけません。 ◦ 個々の恐喝または脅迫は、深刻度に応じてエスカレートされ、 刑事犯罪に相当する場合があります。
  30. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 42 バグバウンティプラットフォームの規約 行動規範 (Code of Conduct,

    CoC):まとめ • 倫理的な脆弱性調査 ◦ 脆弱性の発見を目的として、許可された範囲内でのみ 調査や検証をすること。 ◦ 発見した脆弱性を悪用したり、データを盗んだり、 許可なく公開 してはいけない。 • プロフェッショナルな行動 ◦ 企業とのコミュニケーションを尊重し、丁寧かつ建設的な態度 で接すること。 ◦ バグバウンティプログラムの規約やルールを遵守すること。 ◦ 報酬金目当てに走らず、セキュリティ向上に貢献 することを意識すること。 ポイント
  31. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 44 バグバウンティプログラムの規約 実際のパブリックプログラム:例 • プラットフォーム: IssueHunt

    ◦ https://issuehunt.io/programs • LINE WORKS (BBP) ◦ https://issuehunt.io/programs/d7c3def6-9500-469d-b114-e5dd71d39621 アクション • 実際に 確認してみよう
  32. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 45 バグバウンティプログラムの規約 プログラムの主な概要 • プログラムの概要文 •

    対象範囲 (Scope) ◦ 対象内の範囲 • 対象外 (Out of Scope, OoS) ◦ 対象外の範囲 ◦ 対象外の脆弱性 • 報奨金の一覧 ◦ 各危険度に合わせた報奨金の範囲 • 注意事項や禁止事項
  33. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 46 バグバウンティプログラムの規約 プログラムの対象範囲 (Scope) • 許可された調査対象

    を明確に示したもの • スコープ定義の例 (Webの場合) ◦ ドメイン:「 example.com」 ▪ https://example.com/login, https://example.com/search ◦ サブドメイン入り:「 *.example.com」 ▪ https://www2.example.com/login, https://open.example.com/ ◦ 特定のパス以下のみ:「 example.com/api/*」 ▪ https://example.com/api/search, https://example.com/api/token
  34. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 48 バグバウンティプログラムの規約 プログラムの対象外 (Out of Scope,

    OoS) • 禁止された 調査対象や脆弱性を明確に示したもの • 対象外の例 ◦ 実際の検証コードのない、仮説的または理論的な脆弱性 ◦ 当社サービスの中断につながる可能性のあるサーバーサイドDoS攻撃 ◦ 任意のユーザーにスパムメッセージを送信する機能 ◦ 重要でない機能におけるCSRFトークンの不在 ◦ 古いブラウザやプラットフォームに起因する脆弱性 ◦ ユーザー名/電子メールの列挙のみ
  35. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 51 バグバウンティプログラムの規約 その他の注意事項:例 • ツールに関して「リクエスト間隔の制限 」を設ける

    ◦ 例:最大5リクエスト/秒 • HTTPリクエストに指定された「任意のヘッダー 」を付与する ◦ HackerOneの場合:X-HackerOne-Research: [H1 username] • 資格要件 ◦ 当社または関連会社の現従業員ではない こと。 ◦ 16歳以上であること。
  36. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 52 バグバウンティプログラムの規約 特に大事な注意点 • 許可された調査範囲 (Scope,OoS)を必ず守ること

    ◦ 反すると「不正アクセス行為の禁止等に関する法律 」に該当する可能性がある ▪ 当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く • 禁止行為や注意事項を必ず守ること ◦ NG: プライバシー侵害 , データの破壊 , 認証情報の総当たり攻撃 , など ◦ NG: 保持しないアカウントとやりとりする行為 (実際の顧客情報の取得行為 ) ▪ OK: 認可の検証はアカウントを 2つ用意して、              保持するアカウント同士で検証する。 → バグバウンティの対象はリアルワールドで稼働中のサービスや製品である点 ポイント
  37. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 53 タイムテーブル (120分) • 10:00 ~

    10:10 (10分) 前置き + 本題 • 10:10 ~ 10:20 (10分) バグバウンティの概要 • 10:20 ~ 10:30 (10分) 規約・ルールの把握 • 10:30 ~ 10:50 (20分) 初期調査編 • 10:50 ~ 11:00 (10分) 休憩 + 自習 • 11:00 ~ 11:40 (40分) 脆弱性調査編 • 11:40 ~ 11:45 (5分)  レポートの作成方法 • 11:45 ~ 11:50 (5分)  まとめ • 11:50 ~ 12:00 (10分) Q&A
  38. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 55 バグバウンティにおける調査の流れ 全体的な調査の流れ (ドメイン:Webの場合) 1. バグバウンティプログラムを選ぶ

    2. Scopeから調査対象を選ぶ 3. ドメイン(Web)を調査する a. 初期調査 (Recon) b. 脆弱性調査 (Research) 4. 脆弱性レポートを作成 & 提出する
  39. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 56 バグバウンティにおける調査の流れ 全体的な調査の流れ (ドメイン:Webの場合) 1. バグバウンティプログラムを選ぶ

    2. Scopeから調査対象を選ぶ 3. ドメイン(Web)を調査する a. 初期調査 (Recon) b. 脆弱性調査 (Research) 4. 脆弱性レポートを作成 & 提出する ハンズオン (体験型学習 )  で一緒にやってみよう!
  40. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 61 タイムテーブル (120分) • 10:00 ~

    10:10 (10分) 前置き + 本題 • 10:10 ~ 10:20 (10分) バグバウンティの概要 • 10:20 ~ 10:30 (10分) 規約・ルールの把握 • 10:30 ~ 10:50 (20分) 初期調査編 • 10:50 ~ 11:00 (10分) 休憩 + 自習 • 11:00 ~ 11:40 (40分) 脆弱性調査編 • 11:40 ~ 11:45 (5分)  レポートの作成方法 • 11:45 ~ 11:50 (5分)  まとめ • 11:50 ~ 12:00 (10分) Q&A
  41. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 62 タイムテーブル (120分) • 10:00 ~

    10:10 (10分) 前置き + 本題 • 10:10 ~ 10:20 (10分) バグバウンティの概要 • 10:20 ~ 10:30 (10分) 規約・ルールの把握 • 10:30 ~ 10:50 (20分) 初期調査編 • 10:50 ~ 11:00 (10分) 休憩 + 自習 • 11:00 ~ 11:40 (40分) 脆弱性調査編 • 11:40 ~ 11:45 (5分)  レポートの作成方法 • 11:45 ~ 11:50 (5分)  まとめ • 11:50 ~ 12:00 (10分) Q&A
  42. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 64 バグバウンティにおける脆弱性の事例 主な脆弱性のタイプ • Active Vulnerability

    (能動的な脆弱性 ) ◦ 攻撃者が直接操作することで脅威が生まれる脆弱性 ▪ 例:SQLi, IDOR, アクセス制御の不備, 情報開示, ... • Passive Vulnerability (受動的な脆弱性 ) ◦ 攻撃者が仕掛けた罠 に対して被害者が操作することで 脅威が生まれる脆弱性 ▪ 攻撃者の罠:悪意のあるペイロードが含まれるURLやWebページ, … ▪ 例:XSS, CSRF, OpenR, CORSの不備, ...
  43. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 65 バグバウンティにおける脆弱性の事例 HackerOne Top 10 Vulnerabilities

    (2024) 1. Cross Site Scripting (XSS):20% 2. Information Disclosure (情報開示):10% 3. Improper Access Control (アクセス制御の不備 ):9% 4. Misconfiguration (設定ミス):6% 5. Insecure Direct Object Reference (IDOR):6% 6. Improper Authentication (認証の不備):2% 7. Privilege Escalation (権限昇格):2% 8. Open Redirect (OpenR):2% 9. Business Logic Errors (ロジックの不備):2% 10. SQL Injection (SQLi):2% https://scgajge12.hatenablog.com/entry/bugbounty_reports_2024
  44. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 66 バグバウンティにおける脆弱性の事例 HackerOne Top 3 Vulnerabilitiesの脆弱性:例

    1. Cross Site Scripting (XSS):CWE-79 a. 反射型XSSによる1クリックでのアカウントの乗っ取り b. 蓄積型XSSによる0クリックでのアカウントの乗っ取り 2. Information Disclosure (情報開示):CWE-200 a. 未認証のユーザーによる機密情報の窃取 b. 設定ファイルやS3バケットにアップロードされたファイルなどの漏洩 3. Improper Access Control (アクセス制御の不備 ):CWE-284 a. パラメーター改ざんによる機密情報の窃取・改ざん b. パラメーター改ざんによる他ユーザーのアカウントの不正操作
  45. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 67 バグバウンティにおける脆弱性の事例 バグバウンティでよく勘違いされる指摘事項:例 1. Webサイトで脆弱なバージョンのライブラリ を使っている場合

    a. NG: 脆弱なバージョン情報がわかるのみ b. OK: 脆弱なバージョンによって脆弱性が実際に刺さる 2. WebサイトでSelf XSSがある場合 a. NG: Self XSSのみは被害者が自らを攻撃する必要がある b. OK: Self XSS + CSRFを組み合わせたReflected XSS(反射型) 3. WebサイトでHost Header Injectionがある場合 a. NG: Host Header Injectionのみは被害者が自らを攻撃する必要がある b. OK: Host Header InjectionによるXSS or SQLi
  46. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 68 バグバウンティにおける脆弱性の事例 バグバウンティで扱われる脆弱性の特徴 • 対象内の脆弱性 (求められる脆弱性

    ) ◦ 現実的な脅威や危険性が想定できる 脆弱性 ▪ 例:アカウントの乗っ取り, 機密情報の窃取や改ざん, 不正な操作,   サーバーへの侵入, … • 対象外の脆弱性 ◦ 現実的な脅威や危険性があまり想定できない 脆弱性 ▪ 例:重要でないCSRF, ユーザー名やメールアドレスの列挙,   Self XSS, 重要でないCookieにセキュアフラグ属性がない, …
  47. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 69 バグバウンティにおける脆弱性の事例 バグバウンティで扱われる脆弱性の特徴:まとめ • 事例からリアルワールドでよくある脆弱性 のタイプを把握する

    ◦ HackerOne Top 10 Vulnerability ◦ ブログ「バグバウンティにおける脆弱性報告ランキング Top 10 (2024年版)」 • 過去に脆弱性レポートから実際の脆弱性 を把握する ◦ HackerOne Hacktivity ◦ hackerone-reports ◦ バグハンターのブログ ◦ X(Twitter) • 脆弱性によって実際にどういう脅威や危険性が可能かを把握する ポイント
  48. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 74 タイムテーブル (120分) • 10:00 ~

    10:10 (10分) 前置き + 本題 • 10:10 ~ 10:20 (10分) バグバウンティの概要 • 10:20 ~ 10:30 (10分) 規約・ルールの把握 • 10:30 ~ 10:50 (20分) 初期調査編 • 10:50 ~ 11:00 (10分) 休憩 + 自習 • 11:00 ~ 11:40 (40分) 脆弱性調査編 • 11:40 ~ 11:45 (5分)  レポートの作成方法 • 11:45 ~ 11:50 (5分)  まとめ • 11:50 ~ 12:00 (10分) Q&A
  49. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 76 バグバウンティにおける脆弱性レポート 主な脆弱性レポートの項目 1. レポートのタイトル a.

    端的に脆弱性の指摘がイメージできる内容を記載する 2. スコープの選定 a. 対象のスコープを選ぶ 3. 危険度(深刻度)の設定 a. CVSSのスコアで設定する 4. 脆弱性に関する説明等 a. 概要, 再現方法, 脅威, 対策案, 参考資料, などを記載する
  50. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 77 バグバウンティにおける脆弱性レポート 公式が提示する「高品質な脆弱性レポートの特徴」とは • 概要や再現手順 ◦

    脆弱性の概要を「明確で簡潔」に再現可能な手順を含む状態で説明する。 ◦ 脆弱性の検証や再現手順に、スクリーンショット や動画を添付する。 • 脅威や影響 ◦ 脆弱性によって、どういう脅威に繋がるかの具体例を説明する。 ◦ 脆弱性の脅威に繋がる「想定しうる攻撃シナリオ 」を記載する。 ポイント
  51. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 78 バグバウンティにおける脆弱性レポート 公式が提示する「高品質な脆弱性レポートの特徴」の Docs • HackerOne:

    Quality Reports ◦ https://docs.hackerone.com/en/articles/8475116-quality-reports • Bugcrowd: Writing a Good Bug Report ◦ https://docs.bugcrowd.com/researchers/reporting-managing-submissi ons/reporting-a-bug/#writing-a-good-bug-report • Intigriti: How to write and submit a good report ◦ https://kb.intigriti.com/en/articles/5379086-how-to-write-and-submit- a-good-report
  52. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 79 バグバウンティにおける脆弱性レポート 想定しうる攻撃シナリオ • 脆弱性の証明において、「攻撃者」と「被害者」の立場を定める。 ◦

    その上で、脆弱性の具体的な脅威を示すようにする。 • 現実的に、発生する可能性のある脆弱性攻撃かを示す。 ◦ 脆弱性を証明する際に攻撃条件(シナリオ)も示すようにする。 ▪ 攻撃条件が厳しすぎると危険度が下がる。
  53. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 80 バグバウンティにおける脆弱性レポート 脆弱性レポートのトリアージ対応 (選別) • 報告内容の脆弱性が有効なものか

    (脆弱性として認められるか) ◦ 脆弱性として脅威(Impact)や危険度があるか ◦ 再現方法によって脆弱性が再現されるか ◦ 脆弱性がScope内でOoSに当てはまっていないか • 重複した報告内容か ◦ 既に報告されている脆弱性か
  54. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 83 バグバウンティにおける脆弱性レポート 脆弱性レポートの作成方法:まとめ • 「高品質な脆弱性レポートの特徴 」を踏まえて作成する

    ◦ 明確&簡潔, スクリーンショットや動画 ◦ 危険性の具体例, 想定しうる攻撃シナリオ • 実際の脆弱性レポート(Hacktivity)を参考にする ◦ (品質が良いもの悪いものと色々あります) • 脆弱性を証明する上で攻撃条件や脅威を正しく示すようにする ポイント
  55. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 84 タイムテーブル (120分) • 10:00 ~

    10:10 (10分) 前置き + 本題 • 10:10 ~ 10:20 (10分) バグバウンティの概要 • 10:20 ~ 10:30 (10分) 規約・ルールの把握 • 10:30 ~ 10:50 (20分) 初期調査編 • 10:50 ~ 11:00 (10分) 休憩 + 自習 • 11:00 ~ 11:40 (40分) 脆弱性調査編 • 11:40 ~ 11:45 (5分)  レポートの作成方法 • 11:45 ~ 11:50 (5分)  まとめ • 11:50 ~ 12:00 (10分) Q&A
  56. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 86 本講座の概要 『実践的なバグバウンティ入門 (2025年版)』 本講座では、バグバウンティにおける初期調査と脆弱性調査の方法 を

    ハンズオン形式で実施します。 特にバグハンターの視点 で、実際のバグバウンティの対象に対して、 どういう情報を収集したり 、どういう観点で調査するか などのポイントを 押さえながら、一緒に体験していただきます。 また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に限定し、Webセ キュリティの要素 のみを取り扱います。 本講座で扱う脆弱性やJavaScriptなどの基礎知識は、受講生に事前学習として 資料を共有する予定です。
  57. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 88 バグバウンティ入門 バグバウンティに取り組む上で大切なこと • バグバウンティは基本的に「長期戦」である ◦

    「継続的な取り組み 」が大切 • 脆弱性に対して好奇心や探究心を持って調査すること ◦ 根気よく探し続ける, 検証し続ける, 調査を楽しむ • 常にインプット とアウトプット (実践)を繰り返すこと ◦ インプット:知見, テクニック, 事例 ◦ アウトプット:調査, 検証 ポイント
  58. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 89 バグバウンティ入門 バグバウンティの方法論:初心者向け完全ガイド 1. 長時間かけて単一のターゲットを狙う 2.

    ターゲットの全範囲を確認する (マッピングする) 3. ターゲットに関する製品やサービスのマニュアル を読む (ロジック, API) 4. 仕様や機能の変化に目を光らせる (新機能) 5. JavaScriptファイルは金鉱である (とても重要な調査対象) 6. 興味深いHTTPリクエスト/レスポンスの挙動をメモする 7. 自分のスキルにあったプログラム を選ぶ (Web,Mobile, BBP/VDP) 8. 非標準なポート番号 で動くサービスをテストする (80,443以外) ポイント https://www.intigriti.com/researchers/blog/hacking-tools/crafting-your-bug-bounty-methodology-a-complete-guide-for-beginners
  59. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 91 バグバウンティ入門 バグバウンティに取り組むことで得られること • 経験 ◦

    実際の脆弱性を探す経験   → 脆弱性診断 , ペンテスト , 保守 • 実績 ◦ 実際に脆弱性を見つけた実績 → 就活, キャリアアップ • お金 ◦ 対価としての報酬金     → モチベーション , 収入
  60. P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 92 バグバウンティ入門 おすすめのロードマップ (個人の感想 ) 1.

    Webの仕組みやJavaScriptなどの基礎を学ぶ 2. 脆弱性の概要や仕組みを学ぶ a. Web Security Academy, PentesterLab, TryHackMe 3. 実際の脆弱性の事例や観点を知る a. Hacktivity, CVE, 4. 各調査(Recon, Research)のアプローチ方法 を知る a. ブログ, YouTube, X(Twitter), コミュニティ, 自己研究 5. バグバウンティ(VDP, BBP)にチャレンジ ! a. IssueHunt, 3大バグバウンティプラットフォーム ポイント