はじめに
こんにちは。nakajimeeeeです。
バグバウンティを始めて、はや3カ月が経ちました。私の所属している会社ではプライベートのバグバウンティプログラムを開催しており、主にそのプログラムでバグを探索をしています。バグの詳細は公開できませんが、2024年4月 ~ 2024年7月の3カ月間で以下の通り、11件の脆弱性が認定されました。
- クロスサイトスクリプティング(XSS)× 5
- Information Disclosure × 2
- オープンリダイレクト × 2
- レースコンディション × 1
- アクセス制御の不備(IDOR)× 1
手を動かしてバグ探索することで、オフェンシブなセキュリティの知識が身につき、かつ、報奨金がもらえることもあり、社内でバグバウンティプログラムへの参加を勧めています。ですが、興味を持ってくれる方は多いものの、実際に参加するのはハードルが高いようで、なかなか参加まで至らないというのが現状です。また、周囲の方からは、「何から始めればよいかわからない」という声を多数聞きました。そこで、私がこの3カ月で読んだ記事・書籍のうち有益と思ったものについて、共有させていただきます。まずはここで紹介する記事から読んでみることをお勧めします。この記事がバウンティプログラムへの参加ハードルを低くすることに貢献すれば幸いです。
対象読者
- セキュリティ初学者
- オフェンシブなセキュリティに興味のある方
- バグバウンティに興味はあるが、何から始めればよいかわからず困っている方
免責事項
- 本記事の内容は、悪用を推奨するものではありません。
- ここで紹介する脆弱性については、網羅的ではありません。個人的な趣味嗜好で偏りがあることはご了承ください。
- 脆弱性によって、紹介している記事数が大きく異なります。これは私が重点的に取り組んでいるものかどうかに寄ります。この点はご了承頂けると幸いです。
バグバウンティ開始前の事前知識
- CISSPなどの資格取得を通じて、代表的な脆弱性の概要を把握していた
- HackTheBoxやOSCPの受験を通じて、特にSQLインジェクションやファイルアップロードなどの脆弱性については、具体的な攻撃方法を知っていた
- これはあくまで持論ですが、ウェブアプリケーションの脆弱性を見つけるにあたって、この経験はそこまで役に立っていない印象です
- そもそも、HackTheBoxやOSCPにおいては、ウェブアプリケーションなどをマシンへの初期侵入の足掛かりとして、最終的にそのマシンの管理者権限を取得することが目的です。したがって、リモートコード実行等の深刻な脆弱性が対象であり、バグバウンティで報告することの多いXSS等の脆弱性は対象外であることが多いです。
参考となった記事・書籍
私の基本的な考え方は、ウェブアプリケーション診断の代表的なツールであるBurpSuiteの開発元PortSwiggerのAcademyで一通り勉強して、あとは様々な事例を参考にしてバグ探索していく、というものです。ですので、紹介する記事もPortSwiggerのものが多く含まれています。まずは、PortSwiggerのAcademy(Labも含む)から始めるのは個人的にすごくお勧めです。
まずはじめに読むと良い記事・書籍
- バグバウンティ入門(始め方) - blog of morioka12
-
バグハント入門 (OSS編) - blog of morioka12
-
morioka12さんのバグバウンティの始め方に関する記事です。
-
非常にわかりやすく、かつ、網羅的にバグバウンティについて知ることができます。今でも参考にさせていただいています。
-
- 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版
-
この界隈で非常に有名な書籍です。サンプルが用意されているので、自分で手を動かしながら、代表的な脆弱性について理解を深めることができます。
-
辞書的に使うと良い記事・書籍
- リアルワールドバグハンティング ―ハッキング事例から学ぶウェブの脆弱性
- 様々な脆弱性の概要と実際の攻撃事例がまとまった書籍です。
- 日本語の若干の読みにくさはあるものの、辞書的に使うと良いと思います。
-
- バグバウンティに限らず、オフェンシブなセキュリティについて網羅的に記載されているサイトです。
- このサイトに載っていない脆弱性はほとんどないと思いますので、何か困ったらこのサイトを見てみると良いと思います。
各脆弱性ごとに参考にした記事・書籍
- XSS(Cross Site Scripting)
- 脆弱性の概要
- ペイロード・ツール
- 実際の事例
- CSRF(Cross-Site Request Forgery)
- SSRF(Server Side Request Forgery)
- IDOR(Insecure Direct Object References)
- 脆弱性の概要
- 実際の事例
- Race Condition
- HTTP Request Smuggling
- 脆弱性の概要
- 実際の事例
- Web Cache Vulnerablility
- 脆弱性の概要
- ペイロード・ツール
- 実際の事例
-
ChatGPT Account Takeover - Wildcard Web Cache Deception | Harel Security Research
-
A web cache deception chained to a CSRF, the recipe | by Rachid.A | InfoSec Write-ups
-
DOS via cache poisoning. Today I’m going to talk about cache… | by Rachid.A | InfoSec Write-ups
-
How I Test For Web Cache Vulnerabilities + Tips And Tricks | by bombon | Medium
- Authentication Bypass
- 脆弱性の概要
- 実際の事例
- その他
最後に
自分がこれまで読んできた記事や書籍の中で、有益と思ったものを列挙してみました。この記事が、バグバウンティへの参加ハードルを低くすることに貢献できれば、とても嬉しく思います。
