バグバウンティの全体像整理

バグバウンティをやっていくにあたっての情報を整理する。億万長者(小金持ち)になるという話もあるが、ちゃんとスキルをつけてCVE取って社会貢献していこうという思いから、バグバウンティの情報を整理する。

フロー全体像予想
１．プログラムサイトに行く
２．適当なサービスを選ぶ
３．適当なサービスを検査する
４．問題にあたりをつける
５．問題を深く調査する
６．問題を特定する
７．報告する

１．プログラムサイトに行く
HackerOne : https://hackerone.com/
独自に公開しているバグバウンティプログラムでも構わない。

２．適当なサービスを選ぶ
例えば、HackerOneであれば「Directory -> Programs」を選ぶ。
適当なものを選んで、ルールを読む。読み方を覚える必要がある。
・Disclosure Policy
・Bounty Program
・Exclusions
・In-Scope Domains and Properties
・Out-of-Scope Domains and Properties

３．適当なサービスを検査する
４．問題にあたりをつける
５．問題を深く調査する
６．問題を特定する
ここからが本番。手数を揃える必要がある。
CWE x 構成の数だけ攻撃方法があると考えるのが良い。
総当たりで試すのであれば自動化がおそらく必要。
DoSになると大体Out-of-Scopeなので、総当たりではなく、ある程度効率的に枝切りして選別していく必要があると思われる。
事例が多いCWEの武器を揃えるのが良いか。
障害対応のように、フローを組んでやるのが良いか。

おそらく、普通に本で学んで実践して、手数を増やしていくのが良いと思われる。他の人が報告したものや、Write upがあればそれを読むのが良いとされている。

７．報告する
HackerOneであれば、各サービスのところに、「Submit Report」があるのでそこからやる
・Asset
・Weakness(CWE)
・Severity(optional)
・Proof of Concept
Write upなどを見ていると、１発で合格とならないようなケースも散見され、日本語力(英語力)の力でちゃんとアピっていく必要があると思われる。