はじめに
HackerOne経由でSlackに脆弱性報告しました。
その報奨金を得たので備忘録として。
報告した脆弱性の概要
偽のURLに飛ばせる(フィッシング)に悪用できる脆弱性
CVSS評価値は大体Lowくらい。
このprofile urlをクリックすると、何も確認画面が表示され無いため
うっかりさんを任意の悪性URL(画像ではevil.example.com
)に誘導できるというもの
(実URLがどこにも表示されないので避けようがない)
![](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F30037%2F8a0814a7-3be3-bc45-3c50-8a30f45fd306.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=ec84441793ebee7682133bf760754fcc)
2023年7月4日時点では、確認プロンプトが立ち上がるため攻撃は不能に成っています。
基本的な手順
- 脆弱性を報告する(DeepL翻訳を使う)
- 脆弱性の認定をされるまで待つ
- 認定されたらメールが飛んでくる
- 「脆弱性認定されたけど、まだ誰にも言わないでね!」と言う趣旨のメールが飛んでくる。
- ※お金をもらえる代わりの守秘義務なので守りましょう
- W-8BENを書く
- 税に関するやつです。
- 前述したメールを受信すると書けるようになります。
- 解説サイトが有るので参考にしつつ書きます。
- 振込先口座を設定します。
- 振り込まれるまで静かに待ちます
- 課題チケットに「解決したよ!ありがとう!」っていうメッセージが飛んできます。
- それが来たら大体次の週くらいまでには振り込まれてます。
振込周りの設定
最後に
脆弱性報告してお金を稼ごう。
でも雑所得になると思うので税務署への申請(確定申告)は忘れずにしないといけないよね。
自動でやってくれると良いんだけどなぁ。
マイナンバーカードでもっと便利になって欲しい。