Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
セキュリティ未経験だったけど入社 1年目からBug Bounty Program 運営に参加してみた
について
KAZUHIRO KUBOTA @k2wanko
LINE株式会社 2017年 新卒 セキュリティエンジニア
主な仕事はセキュリティ診断とBug Bounty対応
twitterとgithub: k2wanko
肉と寿司が好き
Splatoon...
今日話すこと
● Bug Bountyについて
● LINE Security Bug Bountyについて
● LINE Security Bug Bountyでの報告Tips
● LINEでBugを見つけるためのTips
● キャンペーン
Bug Bountyって?
海外のBug Bounty Programs
● 主な種類
○ 会社が独自にやる
■ Google, Facebook, Microsoft, etc.
○ Bug Bounty Platformを利用する
■ Hackerone, Bugcr...
日本のBug Bounty Programs
● 主に
○ LINE
○ Cybozu
○ Bugbounty.jp (Bug Bounty Platform)
日本企業にはそんなに人気がない?
Bug Bountyとは
● 報告者視点
○ お金、名誉、グッズがもらえる
● 運営者視点
○ 社内にセキュリティ文化を育成できる
LINE Security Bug Bounty Program
● 2015年に開始
● 対象
○ アプリ
■ LINE for iOS
■ LINE for Android
■ LINE for Chrome
■ LINE for Wind...
Scope
LINE Platform 
LINE App
LINE
NEARBY
LINE
LIVE
LINE
MUSIC
LINE
TODAY
LINE
TODAY
脆弱性の種類と参考金額
Flow
Report
開発者へ
Valid
Invalid
Reject
Fix
1-2 営業日
審査会 報奨確定 支払い
~ 2 ヶ月くらい
2017 Reports and Bounties
2017年に報告された脆弱性の種類と数
国別の支払額
より詳しいレポートはエンジニアブログで
https://engineering.linecorp.com/ja/blog/detail/255
Hall of Fame
Google Play Security Reward Program
https://hackerone.com/googleplay
• RCE
• Theft of insecure private data
• Access to pr...
寄付
・Apache Software Foundation
・Linux Foundation
・OWASP
・Electronic Frontier Foundation
・Let's Encrypt
Tシャツ
レポートの紹介
LINE Nearby User Tracking
インドネシア限定サービス
GPSの偽装と三角測量による
ユーザーの正確な位置の特定できる問題
修正方法:
ユーザー間の距離を計算するときに
ランダムにノイズを追加した。
Spoof Spoof...
Reward
1,000 USD
Open Redirect Leading To Account Takeover
LINE Login用のOAuthのRedirectにあった問題。
redirect_uri=evil.com%5C@example.com
Location:...
Open Redirect Leading To Account Takeover
ブラウザとサーバーでHostの認識が違った。
evil.com@example.com
evil.com@example.com
Browser:
Server:
Open Redirect Leading To Account Takeover
修正方法:
userinfoが含まれているリダイレクトを禁止にした。
http://user@example.com
Reward
6,000 USD
DOM XSS By Regex Filter Misuse
DOM XSS By Regex Filter Misuse
この正規表現はプレースホルダを置き換える
https://example.com/?type=a1
<div id=”{{type}}”>
<div id=”a1”>
=>
DOM XSS By Regex Filter Misuse
1. 問題
| が含まれていると….
DOM XSS By Regex Filter Misuse
攻撃コード
?type=a1&id=0&|(.)h|=$1a$1onerror%3Dalert(1)//
DOM XSS By Regex Filter Misuse
Regex Match:
/{{|(.)h|}}/gm
<img src="https://…">
<img src="a"onerror=alert(1)//ttps://…">
...
DOM XSS By Regex Filter Misuse
修正方法
template.replace(/{{(w+)}}/g,
function($0,$1){return data[$1]})
[ a-zA-Z0-9_ ] のみにマッチす...
Reward
500 USD
より詳しい内容は報告者のブログで
http://masatokinugawa.l0.cm/2018/01/regex-domxss.html
Remote Code Execution (libamp)
• LINE app libamp module (SIP)
Server
Attacker
Script
Victim
LINE APP
Call victim
using spe...
Remote Code Execution (libamp)
● Contained Multiple Buffer Overflows
● Exploitable for Remote Code Execution
● Patched in ...
Reward
20,000 USD
レポートについて
困るレポート
X-Frame-Optionsがないです。
規約を見て
画面がバグってます。
お問い合わせへ
有益なレポート
例1
概要:
LINE ExampleにStored XSSの脆弱性
再現手順:
1. https://example.line.me/ にアクセスして LINEにログインする。
2. 次のペイロードをコメントに書き込む <script>ale...
概要が明確で再現手順があるとGood
例2
概要:
LINE ExampleにAccount Take Overの問題
Open Redirectはスコープ外ですが、
この問題はOAuth Tokenを盗むことが可能です。
LINE Exampleでのユーザーのなりすましが可能な危...
具体的な脅威を書いてるとGood
有益なレポートのまとめ
● 概要が明確
● 再現手順が箇条書きでわかりやすい
● ペイロードが記載されている
● 危険性が明確
脆弱性の探し方
LINEというアプリについて
LINEの機能はチャットだけじゃない
LINE App
Web View
Native API
Client
LINE Server
メッセージとか
通話とか
CWA Server
CWA Server
LINE FamilyHTTP
Thrift
LINE App
Web View
local proxy
inspector
or
watch
Native API
Client
Pass through LINE Server
メッセージとか
通話とか
CWA Server
CWA Se...
普通のWebのセキュリティの
知識で行ける
LINE URL スキーム
line://ch/0000000/ みたいなスキーム
LINEの様々な機能などのショートカット
中にはパラメーターを受け取るスキームもあるのでそこに脆弱性があることも
https://developers.line...
脆弱性を探すポイント
● 開発者の想定外の値を埋め込む
● 権限のチェックがミスしてないかを確認する
LINE × SECCON 2017 LINE Security Bug Bounty Program
キャンペーン賞品
※画像はイメージ
刻印入りの10.5インチiPad Pro 64GB Wi-Fi + Cellularモデル
LINE x SECCON 2017 LINE Security Bug Bounty Program
● 報告時に「SECCON2017」のキーワードと一緒に報告してくれた中から
(報告フォームにキーワード用の欄を追加します。)
● もっとも...
まとめ
LINEはBug Bountyをやっています。
LINEのユーザーが危険になりそうな脆弱性は評価してます。
どしどしレポートしてください。
Thank you
質問
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
Prochain SlideShare
Chargement dans…5
×

セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた

4 312 vues

Publié le

LINE株式会社 久保田 量大 (LINE セキュリティ室)
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
SECCON2017決勝大会での発表資料です。
https://2017.seccon.jp/news/seccon2017.html

LINE Security Bug Bounty Programについて紹介します。 LINEはBug Bountyを2015年から始めて、国を問わずたくさんのバグハンターの方々に報告してもらっています。 そこで得た運用での知見や実際に報告された問題を共有します。 どうやって自社でBug Bountyをするのか?どうしてBug Bountyを行うのかと言った運用や動機の他、 Bug Bountyを知らなかった人や興味のある人でも楽しめるようにどうやってバグを見つけ、どのように報告すればよいかを紹介します。 また、LINE Security Bug Bounty Programにて、今回のSECCON決勝大会のタイミングに合わせて行うキャンペーンについて、本セッション内にてお知らせいたします。

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた

  1. 1. セキュリティ未経験だったけど入社 1年目からBug Bounty Program 運営に参加してみた について
  2. 2. KAZUHIRO KUBOTA @k2wanko LINE株式会社 2017年 新卒 セキュリティエンジニア 主な仕事はセキュリティ診断とBug Bounty対応 twitterとgithub: k2wanko 肉と寿司が好き Splatoon2はS+13くらい バレルとスシコラをよく持つ
  3. 3. 今日話すこと ● Bug Bountyについて ● LINE Security Bug Bountyについて ● LINE Security Bug Bountyでの報告Tips ● LINEでBugを見つけるためのTips ● キャンペーン
  4. 4. Bug Bountyって?
  5. 5. 海外のBug Bounty Programs ● 主な種類 ○ 会社が独自にやる ■ Google, Facebook, Microsoft, etc. ○ Bug Bounty Platformを利用する ■ Hackerone, Bugcrowd, Synack ● リワード ○ お金、Hall of Fame, 景品
  6. 6. 日本のBug Bounty Programs ● 主に ○ LINE ○ Cybozu ○ Bugbounty.jp (Bug Bounty Platform) 日本企業にはそんなに人気がない?
  7. 7. Bug Bountyとは ● 報告者視点 ○ お金、名誉、グッズがもらえる ● 運営者視点 ○ 社内にセキュリティ文化を育成できる
  8. 8. LINE Security Bug Bounty Program ● 2015年に開始 ● 対象 ○ アプリ ■ LINE for iOS ■ LINE for Android ■ LINE for Chrome ■ LINE for Windows 10 Mobile ○ Web ■ LINE STORE ■ LINE NEWS ■ LINE MUSIC ■ LINE LIVE
  9. 9. Scope LINE Platform  LINE App LINE NEARBY LINE LIVE LINE MUSIC LINE TODAY LINE TODAY
  10. 10. 脆弱性の種類と参考金額
  11. 11. Flow Report 開発者へ Valid Invalid Reject Fix 1-2 営業日 審査会 報奨確定 支払い ~ 2 ヶ月くらい
  12. 12. 2017 Reports and Bounties
  13. 13. 2017年に報告された脆弱性の種類と数
  14. 14. 国別の支払額
  15. 15. より詳しいレポートはエンジニアブログで https://engineering.linecorp.com/ja/blog/detail/255
  16. 16. Hall of Fame
  17. 17. Google Play Security Reward Program https://hackerone.com/googleplay • RCE • Theft of insecure private data • Access to protected app components • Android 4.4 and higher
  18. 18. 寄付 ・Apache Software Foundation ・Linux Foundation ・OWASP ・Electronic Frontier Foundation ・Let's Encrypt
  19. 19. Tシャツ
  20. 20. レポートの紹介
  21. 21. LINE Nearby User Tracking インドネシア限定サービス GPSの偽装と三角測量による ユーザーの正確な位置の特定できる問題 修正方法: ユーザー間の距離を計算するときに ランダムにノイズを追加した。 Spoof Spoof Spoof
  22. 22. Reward 1,000 USD
  23. 23. Open Redirect Leading To Account Takeover LINE Login用のOAuthのRedirectにあった問題。 redirect_uri=evil.com%5C@example.com Location: evil.com@example.com
  24. 24. Open Redirect Leading To Account Takeover ブラウザとサーバーでHostの認識が違った。 evil.com@example.com evil.com@example.com Browser: Server:
  25. 25. Open Redirect Leading To Account Takeover 修正方法: userinfoが含まれているリダイレクトを禁止にした。 http://user@example.com
  26. 26. Reward 6,000 USD
  27. 27. DOM XSS By Regex Filter Misuse
  28. 28. DOM XSS By Regex Filter Misuse この正規表現はプレースホルダを置き換える https://example.com/?type=a1 <div id=”{{type}}”> <div id=”a1”> =>
  29. 29. DOM XSS By Regex Filter Misuse 1. 問題 | が含まれていると….
  30. 30. DOM XSS By Regex Filter Misuse 攻撃コード ?type=a1&id=0&|(.)h|=$1a$1onerror%3Dalert(1)//
  31. 31. DOM XSS By Regex Filter Misuse Regex Match: /{{|(.)h|}}/gm <img src="https://…"> <img src="a"onerror=alert(1)//ttps://…"> =>
  32. 32. DOM XSS By Regex Filter Misuse 修正方法 template.replace(/{{(w+)}}/g, function($0,$1){return data[$1]}) [ a-zA-Z0-9_ ] のみにマッチするようにした
  33. 33. Reward 500 USD
  34. 34. より詳しい内容は報告者のブログで http://masatokinugawa.l0.cm/2018/01/regex-domxss.html
  35. 35. Remote Code Execution (libamp) • LINE app libamp module (SIP) Server Attacker Script Victim LINE APP Call victim using special crafted packet Special crafted packet Buffer Overflow
  36. 36. Remote Code Execution (libamp) ● Contained Multiple Buffer Overflows ● Exploitable for Remote Code Execution ● Patched in LINE 5.5.0
  37. 37. Reward 20,000 USD
  38. 38. レポートについて
  39. 39. 困るレポート
  40. 40. X-Frame-Optionsがないです。
  41. 41. 規約を見て
  42. 42. 画面がバグってます。
  43. 43. お問い合わせへ
  44. 44. 有益なレポート
  45. 45. 例1 概要: LINE ExampleにStored XSSの脆弱性 再現手順: 1. https://example.line.me/ にアクセスして LINEにログインする。 2. 次のペイロードをコメントに書き込む <script>alert(location.href)</script> 3. 投稿するとXSSが発生する 確認URL: https://example.line.me/xss 修正方法: コメント部分がHTMLエスケープ処理されてないのでエスケープする
  46. 46. 概要が明確で再現手順があるとGood
  47. 47. 例2 概要: LINE ExampleにAccount Take Overの問題 Open Redirectはスコープ外ですが、 この問題はOAuth Tokenを盗むことが可能です。 LINE Exampleでのユーザーのなりすましが可能な危険性があります。 確認URL: https://example.line.me/login?redirect=https://evil.example.com/
  48. 48. 具体的な脅威を書いてるとGood
  49. 49. 有益なレポートのまとめ ● 概要が明確 ● 再現手順が箇条書きでわかりやすい ● ペイロードが記載されている ● 危険性が明確
  50. 50. 脆弱性の探し方
  51. 51. LINEというアプリについて
  52. 52. LINEの機能はチャットだけじゃない
  53. 53. LINE App Web View Native API Client LINE Server メッセージとか 通話とか CWA Server CWA Server LINE FamilyHTTP Thrift
  54. 54. LINE App Web View local proxy inspector or watch Native API Client Pass through LINE Server メッセージとか 通話とか CWA Server CWA Server LINE Family
  55. 55. 普通のWebのセキュリティの 知識で行ける
  56. 56. LINE URL スキーム line://ch/0000000/ みたいなスキーム LINEの様々な機能などのショートカット 中にはパラメーターを受け取るスキームもあるのでそこに脆弱性があることも https://developers.line.me/ja/docs/messaging-api/using-line-url-scheme/
  57. 57. 脆弱性を探すポイント ● 開発者の想定外の値を埋め込む ● 権限のチェックがミスしてないかを確認する
  58. 58. LINE × SECCON 2017 LINE Security Bug Bounty Program
  59. 59. キャンペーン賞品 ※画像はイメージ 刻印入りの10.5インチiPad Pro 64GB Wi-Fi + Cellularモデル
  60. 60. LINE x SECCON 2017 LINE Security Bug Bounty Program ● 報告時に「SECCON2017」のキーワードと一緒に報告してくれた中から (報告フォームにキーワード用の欄を追加します。) ● もっとも報奨金が高い報告にプレゼント ● 同率1位だった場合はどちらがより優れた報告かを審査員で判断します。 ● 期限は今日から3ヶ月以内 2018/5/31 23:59 (JST) まで
  61. 61. まとめ LINEはBug Bountyをやっています。 LINEのユーザーが危険になりそうな脆弱性は評価してます。 どしどしレポートしてください。
  62. 62. Thank you
  63. 63. 質問

×