バグバウンティ入門の入門〜まずはHacker101とAppGoatが良さそう

プログラムのバグによって、なんらかの悪影響を及ぼすものを脆弱性と呼ぶわけですが、これを見つけるバグバウンティというものが盛り上がってます[1]。

バグバウンティに興味はあったものの、忙しいから、難しそうだから、と言い訳を見つけて先延ばしにしてきたのですが、重い腰をあげて、まずはバグバウンティに入門するための方法（入門の入門）をググって調べてみました[2][3]。

脆弱性の見つけ方を勉強する

当たり前かもしれませんが、まずはお勉強です。英語でも無問題だぜ！や、ついでに英語の勉強も兼ねたいという人にはバグバウンティのプラットフォームであるHackerOne[4]が提供する学習用サイトのHacker101[5]や、HackerOneで公開されている過去のレポート[6]を読み漁ることが良さそうです。（どちらにしろ最新情報は英語なので、この壁は越えねばならない）

とりあえずは日本語で勉強したいのであれば、[3]のリンク先にあったIPAの勉強会資料が良さそうでした[7]。IPAの資料では、AppGoatという脆弱性勉強用のツールを用いた勉強の概説をしているため、まずは資料で概観掴んだ後、AppGoatを体験すると良さそうです。

終わりに

とりあえずはHacker101 の入門コースや、IPAの脆弱性調査の勉強会資料などを基に勉強を進めようかと思いました。本も色々昔買ったのですが、引っ越しのタイミングで売ったり段ボールの奥底にあったりで引っ張り出すのしんどいので、ひとまずネットの情報を基に勉強を進めていこうかと思います。

参考

[1] INTERNET Watch, コロナ禍で急増、バグバウンティプラットフォーム「HackerOne」への新規登録者数が56％増, https://internet.watch.impress.co.jp/docs/column/security/1286747.html
[2] Computer Futures, バグハンターとは？入門に役立つガイドと無料ツールをご紹介, https://www.computerfutures.com/ja-jp/blog/2021/07/free-guide-and-tools-to-be-a-bug-bounty-hunter/
[3] Qiita,バグバウンティにチャレンジしてみた！, https://qiita.com/inahuku_shingo/items/1947081f0174ff7b59df
[4] HackerOne, https://www.hackerone.com/
[5] Hacker101, https://www.hacker101.com/
[6] Hacker Activity, https://hackerone.com/hacktivity
[7] IPA,脆弱性の発見・報告に関する勉強会～初めての脆弱性調査～ https://www.ipa.go.jp/security/vuln/report/notice/handling_20190926.html