【バグハンターインタビュー】Zseano
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
【バグハンターインタビュー】は、バグバウンティ業界のエキスパートがバグの種類や傾向について光を当てるインタビューシリーズです。SeanことZseano氏は、自らを「ただのWebアプリハッカー」と定義していますが、Intigritiはそれ以上の存在だと考えています。
過去数年間、Seanはほぼすべてのバグバウンティプラットフォームにおいてアクティブなコミュニティメンバーであり、バグバウンティのメモを交換するための独自のプラットフォームを作り、ライブハッキングイベントやオンライン指導セッションを開催して成功を収めています。
Seanとはどんな人なのか?ハッキングセッションの合間に、彼に聞いてみました。
目次
- 1 Seanさん、この度はお時間をいただきありがとうございました。バグバウンティを始めたきっかけは何ですか?以前のインタビューで、最初のバグについて話していましたが、どのように始まったのでしょうか?
- 2 バグバウンティを始めてからかなり経ちますが、この数年でアプローチにどのような変化があったのでしょうか。
- 3 コア機能を見ますか?それとも偵察で全体を見ますか?
- 4 もし今バグバウンティプラットフォームを始めるとしたら、長年のバグバウンティの経験を振り返って、どのようなことを考慮しますか?
- 5 最近、イギリスでもライブをされているようですね。英国におけるバグバウンティの現状や見解はいかがでしょうか?例えば5年前と比べて、企業はよりオープンになっているのでしょうか?
- 6 ここ数年、講演やメンタリング、さらにはハッキングのライブイベントなど、目覚ましい活躍をされていますね。知識がお金になるこの業界で、何があなたをそうさせるのでしょうか。
- 7 また、興味深いのは、ほとんどの講演が異なるテーマを扱っており、それほど頻繁に「リサイクル」していないことです。どのようにしてインスピレーションを得続けているのでしょうか。
- 8 学び続けるということですが、過去数年の間にあなたの考え方はどのように進化してきたのでしょうか?また、XSSのような古典的な攻撃に対して、今後どのように進化していくとお考えでしょうか。
- 9 あなたは企業がミスを回避できるように、提出したバグレポートから学ぶことを手伝いたいとおっしゃっています。企業がミスを減らすほど、バグハンターとして面白くなくなりませんか?それとも別の角度の意見をお持ちでしょうか?
- 10 最後に一言お願いします。
Seanさん、この度はお時間をいただきありがとうございました。バグバウンティを始めたきっかけは何ですか?以前のインタビューで、最初のバグについて話していましたが、どのように始まったのでしょうか?
私がバグバウンティを始めたのは、2015年に友人からHackerOneを見せてもらい、「企業が突然セキュリティの脆弱性に報奨金を払うようになった」と言われたのがきっかけです。それ以来、私はセキュリティに重点を置き、自分の知識&スキルを向上させるために最善を尽くしてきました。ハッキングの知識は、バグバウンティが存在する以前から持っていました。
実は、このプログラムは非公開でしたが、あるプラットフォームがブログ記事で名前を漏らしていたので、私はバグを見つけそのプラットフォームに連絡を取って報告してもらうことでチームと繋がったのです。
そこで時間をかけて良い関係を築いたので、すべてのリソースに対してテストすることを許可してくれました。その後何年もの間、私はそのサイトがどのように構成されているのか、どんな古いコードがサーバーに残されているのかなどを正確に学ぶことに専念していました。その結果、あるプログラムについて完全なマインドマップを作成し、まるで自分がその企業で働いているかのように感じたこともありました。
バグバウンティを始めてからかなり経ちますが、この数年でアプローチにどのような変化があったのでしょうか。
2015年当時、私はXSSとは何か、どのような影響があるか、どのようにすればほとんどのフィルタを回避できるかを十分に理解していたので、主にXSSのハンティングだけを考えていました。時間が経つにつれ、サイトの奥深くまで探索するようになると、自然と気になる機能を見つけるようになり「これは何をしているんだろう?ここで何かできるのか?」などと違った角度から考えるようになりました。今では、どこにバグがあるのか(ログインフローや開発者用コンソールなど)、なんとなく「推測」できるようになりましたし、特にサイトの構成について長い間学んでいると、自然とjavascriptファイルを見て、何が起こっているのか確認したくなります。正直に言うと、私は1つのバグタイプに集中することはありません。というのも、私はWebサイトでたどる「流れ」を持っているからです。
コア機能を見ますか?それとも偵察で全体を見ますか?
正直なところ、コアな部分を見たいと思います。ただ、会社が外に何か晒してるとか、範囲外のドメインにオープンリダイレクトがあってチェーンに使えるとか、そういうのは分かるのですがどうしても退屈してしまいます。
なぜなら、コアな部分は会社のメインアプリケーションであり、1日に何千人ものユーザーが使用する可能性があり、セキュリティが必要だとするならばこの部分なので、私はそれをテストしたいのです。
もし、その会社のメインのウェブアプリケーションで5つのIDOR(Insecure DirectObjectReferenceという脆弱性)を見つけたら、おそらく他の場所でも認証の問題で脆弱であることが分かるからです。私の意見では、1つのバグが多くのバグにつながります。
もし今バグバウンティプラットフォームを始めるとしたら、長年のバグバウンティの経験を振り返って、どのようなことを考慮しますか?
多くのバグハンターに自社の資産を見てもらうことで脆弱性が発見されるのは確かですが、その報告に対応し、修正する準備ができている企業が少ないため、バグハンターにフラストレーションが溜まっているのだと思います。
私は、プラットフォームが企業のトレーニングにもっと力を入れることを望んでいますし、実際に私が力を入れ始めていることでもあります。企業はバグハンターを歓迎していますが、これからは私たちの知識を吸収し、私たちがやっていることを再現できるようになる必要があります。
最近、イギリスでもライブをされているようですね。英国におけるバグバウンティの現状や見解はいかがでしょうか?例えば5年前と比べて、企業はよりオープンになっているのでしょうか?
倫理的ハッキングやバグバウンティに対する見方は非常にポジティブで、すでに多くの英国企業が独自のバグバウンティプログラムを実施していますが、同じような傾向が見受けられます。しかし、私が見たところ、英国企業はハッカーとの協働に非常に前向きで、特に5年以上前と比較すると、その傾向はより顕著になっています。
ここ数年、講演やメンタリング、さらにはハッキングのライブイベントなど、目覚ましい活躍をされていますね。知識がお金になるこの業界で、何があなたをそうさせるのでしょうか。
コンピュータを使う時間が増え、新しいことを学ぶようになってから、いつも心に留めていることが2つあります。共有は思いやりであり、情報は無料であるということです。私の考えでは、お金は諸悪の根源であり、お金はビジョンを曇らせることがあるので私はお金のことをあまり考えません。私はいつも、人々が知識を共有し、私を助けてくれたので、私は善意を伝えているだけなのです。人間は互いに協力し合うことで、より多くの問題を解決することができるのです。
また、私は話すことが好きなんです。何時間しゃべっていても、まだまだ足りないと思うし、もっと話したいと思ってしまうんです。
人の役に立ちたいと自然に思うようになりました。
また、興味深いのは、ほとんどの講演が異なるテーマを扱っており、それほど頻繁に「リサイクル」していないことです。どのようにしてインスピレーションを得続けているのでしょうか。
私は多くの人からヘルプを求めるDMを受け取るので、時々これらの質問をコンテンツ作りに役立てることがあります。何年も前に私がしていたのと同じ質問をされるので、「なぜ彼らは苦労しているのだろう」と自分に照らし合わせて考え、その人の考え方を理解し、その質問に答えるためのコンテンツを作るようにしています。
正直なところ、私は人を助けたいという気持ちが強く「あなたのおかげでバグを発見しました!」というメッセージをもらうと、とても笑顔になります。
人を喜ばせるのが大好きなんです。
私は、プログラムをハックしたり、文章から内容を学びます。特に、HTTP smugglingのようなJames Kettleの新しい発見から学んでいます。正直なところ、私の「学習」は一度も止まったことがなく、今日もなおハッキングを学びより良くするために続けています。
学び続けるということですが、過去数年の間にあなたの考え方はどのように進化してきたのでしょうか?また、XSSのような古典的な攻撃に対して、今後どのように進化していくとお考えでしょうか。
より良いバグハンターであり続けたいですね。私は、ウェブアプリケーションにアプローチする「流れ」がわかっていて、どんなWebサイトでも選んで即座にテストを始めることができると感じています。私はテストするときに、メモを取りながら調査することに集中しています。なぜなら、私は時々「速すぎる」ハッキングをし、重要なことを見逃しているように感じるからです。これまではメモに助けられてきましたが、もっと効率的にメモを取れるようにしたいと思っています。
正直なところ、私はバグバウンティがより一般的になることを心配してはいません。ウェブアプリケーションに深く潜り込み、実際に時間をかけることこそ、本当のバグがある場所なのです。なぜなら、大多数の人は幸運な発見を望んでいるだけだからです。
Webアプリケーションを深く掘り下げて実際に時間を費やすことで本当のバグの発見ができます。
私は常に好奇心が旺盛で、何かがどのように作られたかを知ることに興味があるので、この思考プロセスを単純にWebサイトに適用しています。
「こうしたらどうなるんだろう?この機能を作るとき、開発者はどう考えたのだろうか?」などを考えながら進めています。
例えば、XSSを探しているときに、あるウェブサイトがXSSから保護するための新しいフレームワークを使っていることに気づいたら、XSSを探すのをやめます。その代わりに、脆弱性の可能性があるもの(フレームワークの設定ミスによるサイト全体のCSRF問題)に注目します。
また、XSSのようなものからどのように保護したかを調査します。
あなたは企業がミスを回避できるように、提出したバグレポートから学ぶことを手伝いたいとおっしゃっています。企業がミスを減らすほど、バグハンターとして面白くなくなりませんか?それとも別の角度の意見をお持ちでしょうか?
私が安全なWebサイトを面白いと思うのは、「どのように防御したのか」「どのように安全性を確保したのか」ということを難しく考えざるを得ないからです。また、「XSSを10個見つけたから、報奨金が欲しい」という考えではなく、本当に面白いエッジケースのバグを見つける機会も生まれます。バグハンターがもっと大きな役割を果たせると思うのですが、プラットフォームが10万人以上のバグハンターを擁していると言っても、実際にはほとんどがノイズを生み出しているだけなので、これも難しい分野です。バグを防ぐために正しい知識を提供できるバグハンターは限られていますが、時間が経つにつれて増えていくと思います。バグハンターと一緒に仕事をする企業の未来は明るいと思います。
最後に一言お願いします。
最も重要なことは、決してあきらめないことです。何週間もバグがなくても落ち込まないで、一歩下がって、今までやったこと、失敗したことを振り返って、自分にとって何が問題なのかを考えてみてください。みなさんに幸運とハッピーハッキングを。
出典:Intigriti
https://blog.intigriti.com/2020/04/29/bug-business-3-zseanos-notes-on-hacking-mentoring/
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。
