最近年2回のサイボウズ以外はほぼバグバウンティしていない現状であるが、やる気が起きたときようにメモ
主にWebアプリに関すること
診断と自分で勝手に脆弱性を探す行為との違い
- 網羅性は全く必要ない
診断は網羅してないと怒られることがあるが好きな脆弱性だけ探せる。
- 期間が永遠
診断期間は自由なので後で気づいて頭を抱えることはない
- 攻撃に到るまでを説明する必要がある
「バージョンが古いのでダメです」だけでは許してもらえない
- 変なことすると逮捕される可能性がある
無闇にツール回すと不正アクセス禁止法に引っかかるので
だがしかし海外勢は法律の違いもあるのか好きなサイトに気軽にツールを回すので太刀打ちできない
日本人としては許可されたところかローカルに環境作って攻撃するのが心理的安全性が高い
2023年度の傾向
- コモディティ化が進む
自分だけしか知らないような脆弱性はない
まだ知られていない手法もほぼない
ブラウザーとかスマホアプリとかIoTデバイスとかにはまだあるのかもしれないが知らない
- 自動化が進む
到るところにrecon自動化ソリューション
-
reconFTW
-
reNgine
-
Sn1per
自動化のだいたいの流れ
OSINT
- Whoisとかホスト情報
- Google Dorks
- Github Dorks
- Metadata
サブドメイン検索
- amass
- subfinder
- SSL証明書
- DNS
- WaybackMachine
Webサイトマッピング
脆弱性スキャン
- ActiveScan
- PassiveScan
自動化で何とかなる箇所はレッドオーシャンな気がするので今から参入するには敷居が高そう
探す脆弱性
終わった脆弱性
IE限定のXSS
ようやくIEが死んだがもしかするとWindowsのコンポーネントのどこかに潜んでるのかもしれない
Flash関連
Flashが死んだのでもう知らなくていい
ほぼ終わった脆弱性
CSRF
ブラウザーが対応した
デフォルト SameSite=Lax
JSでAPI叩いて表示する系のサイトにはほぼ関係ない
反射型 DOM based XSS
location.hashがURLエンコードされない現行ブラウザはもうこの世にない
location.hashを$()に入れるサイトは無限にあるがjQuery 1.7以下を使ってるサイトはさすがにほとんどない
Refererによるリーク
ブラウザーが対応した
Referrer Policy
復活した脆弱性
反射型XSS
ブラウザーがXSSフィルタを止めた
CSPってどうなってるのか
ちょっと前に流行ったが終わりつつある脆弱性
subdomain takeover
プラットフォーム側が対応した
バウンティが下がった
Scopeから外すところも増えてる
SSRF
クラウドベンダーが対応した
被害が限定的に
prototype pollution
ほぼnodejs限定
さすがに刈り尽くされた感
クライアントで見つかることはほぼない
ReDoS
言語、正規表現エンジンが対応
気軽に試すと逮捕案件
ちょっと新しいタイプの脆弱性
クラウド設定の問題
-
SSRFは終わりは近いがまだあるかも
-
S3バケットの漏洩
-
その他設定ミスは永遠
-
request smuggling
キャッシュ設定の問題
-
Cache Deception
-
Cache Poisoning
サードパーティーAPIの問題
-
権限設定のミス
-
APIキーのハードコード
仮想環境の問題
2段階認証のバイパス
- 最近わりと受け付けられている気がする
テンプレートインジェクション
フレームワークごとに異なる
再び注目されている脆弱性
-
レースコンディション
-
TOCTOU
バグバウンティプラットフォーム
HackerOne一強だった時代から少し変わってきてるかもしれない
会社で直接受付しているところも増えている気もする
英語で受け付け
- HackerOne
- bugcrowd
- intigriti
- YesWeHack
- GObugfree
- huntr.dev
- OpenBugBounty
- Snyk
日本語が通じそうなところ
- IssueHunt
- Bugbounty.jp
会社独自
英語で受け付け
- Microsoft
- Meta
- Mozilla
- Apple
日本語が通じそうなところ
- サイボウズ
- Sky
- 任天堂