はじめに
HackerOne経由でSlackに脆弱性報告しました。
その報奨金を得たので備忘録として。
報告した脆弱性の概要
偽のURLに飛ばせる(フィッシング)に悪用できる脆弱性
CVSS評価値は大体Lowくらい。
このprofile urlをクリックすると、何も確認画面が表示され無いため
うっかりさんを任意の悪性URL(画像ではevil.example.com)に誘導できるというもの
(実URLがどこにも表示されないので避けようがない)
実際の設定内容は、evilに飛ばすようになっている。
2023年7月4日時点では、確認プロンプトが立ち上がるため攻撃は不能に成っています。
基本的な手順
- 脆弱性を報告する(DeepL翻訳を使う)
- 脆弱性の認定をされるまで待つ
- 認定されたらメールが飛んでくる
- 「脆弱性認定されたけど、まだ誰にも言わないでね!」と言う趣旨のメールが飛んでくる。
- ※お金をもらえる代わりの守秘義務なので守りましょう
- W-8BENを書く
- 税に関するやつです。
- 前述したメールを受信すると書けるようになります。
- 解説サイトが有るので参考にしつつ書きます。
- 振込先口座を設定します。
- 振り込まれるまで静かに待ちます
- 課題チケットに「解決したよ!ありがとう!」っていうメッセージが飛んできます。
- それが来たら大体次の週くらいまでには振り込まれてます。
振込周りの設定
解決したよメッセージ
最後に
脆弱性報告してお金を稼ごう。
でも雑所得になると思うので税務署への申請(確定申告)は忘れずにしないといけないよね。
自動でやってくれると良いんだけどなぁ。
マイナンバーカードでもっと便利になって欲しい。