3件のPoC失敗から学んだこと
前置き
半年くらい前からセキュリティについて独学で勉強している者です。
バグバウンティで3件ほどPoCレポートを提出しましたが……全部無報酬でした(´;ω;`)
ただ、そこから学べたことは本当に大きかったので、今後同じように挑戦しようとしている方の参考になればとまとめました。
ScopeとOut Of Scopeは最初に絶対確認
何かを見つけてテンションが上がっても、Out Of Scope に入っていたら全部ムダになります。
私は最初これを見落とし、「すごいものを見つけたぞ!」と思って提出したら秒で拒否されました。
対策:
- 最初にScopeとOOSを印刷して貼るくらいの勢いで読む
- 報告前に「これはScope内か?」と再確認する癖をつける
PoCは“1人裁判”で作れ
これは自分の中でも特に大きな学びでした。
PoCは、自分で原告と被告を演じて、自問自答を繰り返す作業が必要です。
「証拠Aを提示します!」
→「異議あり、その証拠は不十分です!」
→「異議あり、不十分ではありません!根拠は…」
こんなふうに、自分の報告にどこまで突っ込めるかが提出前の質を大きく左右する。
つまり、時間がかかる・面倒な作業こそPoCに必要な要素だったと気づきました。
SSP(Single Security Point)を知れ
これは自分が3件目のPoCで特に感じたことです。
「あと一歩で管理者ページにアクセスできそう!」
→ でもその“一歩”が踏み切れなかった。
SSP=その1か所を突破できない限り、すべてが「面白いだけ」で終わってしまう地点。
つまり、それを知らずにいくら深掘っても、どこまで行っても徒労になる可能性がある。
最後に
バグバウンティは簡単じゃないし、最初は評価されないことの方が圧倒的に多いです。
でも、提出したPoCが報酬にならなくても、自分の学びになったのなら、それは無駄じゃなかったと今では思っています。
これから挑戦しようとしている誰かが、私の失敗から一歩先に進めたら嬉しいです。
📎 参考: