AVTokyo2016で発表した「バウンティハンターになろう!2016」のスライドです

1. バウンティハンターになろう!
2016
東内裕二A.K.A.山本洋介山（NTTコミュニケーションズ）

2. 自己紹介
山本洋介山（@yousukezan）です。
AVTokyo2013.5で「バウンティハンターになろう」というお話をさせていただきました。
それから3年弱。
世界のバグバウンティ事情と俺のバグバウンティ事情についてお話しますよ。

3. 2013.5で話をした時のわたくし
ハッカージャパンと他のお仕事が立て続けに終了。某所からクソみたいな提案がきてライター
業に見切りをつけた時期
運よくYahoo!にあるXSSの巣を見つける
講演の前日にYahoo!から＄がもらえる連絡がやってきた
これはバグバウンティハンターとして生きていけるのでは！？
運良くか悪くか派遣社員として働き始めていたので専業は断念

4. 2016年のわたくし
会社員としてWebの脆弱性検査に従事
アラフォーでようやくレールに乗れてよかった！
引き続きゆるゆるバグハントもしてる

5. 2016年の世界のバグハント事情
GoogleもFacebookもYahoo!もそんなに簡単にバグは見つからなくなってる
HackerOneにはtwitter、Dropbox、Slack、Adobe、Square、GitHub、Uberとかが参加している
今年の世界の流行りはUberっぽい
バグを探している人はインド系がいっぱい（HackerOneの上位とかすごい）
あとロシア系が多い（Yandex、mail.ruを筆頭に報奨金プログラムがあるサイトも多い）
報奨金もそこそこ（XSS1件100～500ドルくらいが多い）で
思ったほど盛り上がってないよ
HackerOneの調査（https://hackerone.com/blog/bug-bounty-hacker-report-2016）
によると5万ドル以上稼げている人は100人いない
これだけで生きていくにはまだ相当な能力と運が必要

6. 2016年日本のバグハント事情
この3年で日本でも報奨金が支払われる会社が出てきた
日本語で報奨金が稼げるのはサイボウズ、LINE、BugBounty.jp
サイボウズは現在一番レートがいい
◦ リモートコード実行で30万（CVSS 10.0*1万*3）
◦ XSSだと60000円くらい
LINEはわかんない
BugBounty.jpは脆弱性報告プラットフォーム
◦ Pixiv、baidu、gumi、Avexなどが参加
◦ 報奨金は企業によるけど5000～300000円くらい
◦ PixivのXSSで1件10000円だった
世界的には知名度が低いのでこっちの方が難易度低い

7. 意外とバグバウンティは甘くない
運よくGoogleとYahoo!のXSSに遭遇して報奨金ゲッターの仲間入りしたものの…
ポケモンGOと違って脆弱性の巣はすぐに掘りつくされる
普通の脆弱性はほかの誰かも見つけている
◦ duplicateの嵐
◦ 仕事しててよかった
どうやったら報奨金を稼げるかもう一度考えてみよう

8. 日本のスタープレイヤーに倣いたい
KinugawaMasato
◦ 毎年たくさん稼いでる（元？）専業バグバウンティハンター
◦ XSSにめっちゃ詳しい（海外でXSS Kingと呼ばれている）
にしむねあ
◦ 主にFirefoxの脆弱性を探して1000万くらい稼いでる
◦ 朝4時に起きて仕様書とソースコードを読み続ける常人には理解できないスタイル
特殊能力：一般人には見つけられないような脆弱性を見つけられる
ロールモデルとしては…無理
生まれ変わってから目指したい

9. 俺はもっと楽して報奨金をいただきた
いんだよ！
日本のスーパーハッカーのことは忘れて、
世界に目を向けて報奨金をもらった報告を参考にすることに
世界のとにかくお金が好きなバグハンターの戦略
◦ 小さな脆弱性でも気にせず大げさに報告する
◦ バウンティが認められるまでごねてみる
◦ 大切なことは報奨金をわが手にしたいという強い気持ち！！！
もっと気軽に稼いだ例もあるじゃないか！
これなら俺にもできるかも！
報
奨
金
を
稼
ぎ
た
い
僕の考えたさいきょうの報奨金戦略

10. ということでチャレンジ・ザ・報奨金再び
これって脆弱性と思うような事象、攻撃の可能性が低い脆弱性でも恥ずかしいと思わずに堂々
と報告することにしてみた
竹やりで突撃してみると意外と報奨金がもらえることがわかった

11. こんな脆弱性でお金がもらえた2016
1.リモートデスクトップの問題
2.SMTPの問題
3.クリックジャッキングの問題
CSRFのトークンがなぜか漏れてた問題る←デグレしてたので説明できない

12. 1.リモートデスクトップサービスからの
ユーザー名列挙
どこかでpaypalのリモートサービスのポートが開いててリモートコード実行できたレポートを見る
たまたま別の脆弱性を見つけたpaypal-●●.comに対してリモートデスクトップで接続してみる
ログイン画面が出てくるやん！
ユーザー名が列挙されてるやん！
paypal-●●.com の軽微な脆弱性は100ドルなので100ドルゲット
翌年再度アクセスするとまた出てくる！
また100ドルゲット

13. nmapした

14. リモートデスクトップ接続してみた

15. 2.SMTPのVRFYコマンドによる
ユーザー名列挙
Yahoo!
Shodanが話題だったので暇つぶしにshodanを見る
Yahoo!を検索するとなぜかVRFYが機能しているSMTPサーバーがいっぱい
本当にVRFYが動いてるんだ！

16. 3.クリックジャッキングの危険性
ただHTTPレスポンスヘッダにX-Frame-Optionsが設定されていないというだけ
わりと有名サイト（Private）
どこかでお金をもらっているレポートを見つけたのを見つけたので探して送ってみる
大体はduplicateか不受理だったけど…1件拾われた！

17. クリックジャッキングの見つけ方（イメージ）

18. 他の人はこんなものでも報奨金をゲット
サーバー内のフルパスが見えてる
TRACEメソッドが使える
X-Content-Type-Optionsヘッダがない
SMTPのSPFレコードがない

19. 報奨金をもらった会社
Yahoo!
サイボウズ
paypal
mixi
そのほか
今年はサイボウズでいろいろ見つけたよ！

20. おわり
報奨金は主に2匹のご飯代と先日お亡くなりになった給湯器になりました
ぼくでも稼げるのでやり方を考えると多少能力が低くても稼げる可能性はあるよ！
レッツハンティング！