【バグハンターインタビュー】Robin

バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。

【バグハンターインタビュー】は、バグバウンティ業界の専門家がバグの種類やトレンドに光を当てるインタビューシリーズです。

今回のインタビューは、2020年第1四半期のリーダーボードで1位を獲得したRobin氏が登場します。多忙な生活の合間を縫って彼の偉業について答えてくれました。

目次

Robinさん、こんにちは。どのようにバグハンターになったのか、あなた自身について少し話してもらえますか?

こんにちは、私はRobinです。現在20歳で、ベルギーのゲントの近くに住んでいます。最近、ゲント大学でコンピュータサイエンスの学士号を取得し、次は修士号を取るために勉強する予定です。自由な時間には、テクノロジーに関する本を読んだり、卓球をしたりしています。プログラミングに目覚めたのは13歳のときで、YouTubeの動画を見て独学でJavaのプログラミングを学びました。このJavaの知識は、主に遊びでゲームのプラグインを作るのに使っていました。その後、HTML、PHP、SQLを試して、ごく基本的なウェブサイトを開発しました。ソフトウェア開発におけるセキュリティの側面については、高校の終わり頃まではあまり関心がありませんでしたが、学校で使っていた学生用ポータルを覗き、ネット記事で見つけた手法でいくつかの脆弱性を発見したのです。そしてレポートを書き上げ、会社にメールを送りました。数日後、その会社のCEOと電話をして、感謝のしるしとして50ユーロのギフトカードをもらいました。

当時はバグバウンティがそれほど盛んではなく、ハッキングできるプログラムも少なかったので、しばらくは取り組んでいませんでした。その後、バグバウンティプログラムがかなり成熟してきたので、1年前から再び取り組み始めたのですが、ある日、レスポンシブル・ディスクロージャー(脆弱性開示プログラム)において、偶然にも非常に優れた脆弱性を発見しました。そこから、私は全く新しいプライベートプログラムへの招待状を受け取りましたが、またそこですぐに他の脆弱性を見つけたので、最初の報奨金を手にしました。これをきっかけに、バグを報告することで素晴らしい報奨金を得ることが可能であることを実感しました。その日以来、私は積極的にバグを探し続けており、一度も止めたことはありません。

では、今はどのような生活を送っているのでしょうか。バグバウンティをどのようなペースで行い、それはあなたの生活にどのようにフィットしているのでしょうか?

私にとってのバグハンティングは、ほとんど趣味のようなものです。大学生なので自由な時間があまりなく、講義を受けたり、課題に取り組んだりしている時間がほとんどです。

平日は深夜に、週末は昼間にバグハンティングをすることが多いです。このほかにも、複数のソフトウェアプロジェクトやWebサイトを管理しており、これらにも多くの時間を取られています。

どのようにターゲットにアプローチしますか?決められた手順に従っていますか?考えられる全てのバグ、全てのエンドポイントに対して脆弱性のテストを行いますか?あるいはそれ以外の方法でしょうか?

私は、ターゲットにアプローチする方法をあらかじめ決めているわけではありません。新しいバグバウンティプログラムが現れたら、短時間でできるだけ多くの範囲を見てみるようにしています。そうすることで、どのような開発者が取り組んできたのか、どのソフトウェアスタックを使っているのか、対象がどの程度セキュアな状態なのかを素早く判断することができます。このような新しいプログラムでは、通常、簡単なバグをすぐに見つけることができます。もし、この最初のレポートに対するチームの反応が良ければ、私はそのアプリケーションをさらに深く掘り下げていくでしょう。

個人的には、まず最初にいくつかの脆弱性について、すべてのエンドポイントを試してみることをお勧めします。そうすることで、より複雑な脆弱性をテストするためにどのエンドポイントに戻るべきかを決定することができます。

バグハントで重要な役割を果たすのは偵察ですか?また、それはあなたにとってどのようなものですか?

私は、ワイルドカードの範囲が大きいプログラムではあまりバグバウンティをしないので、偵察がそれほど重要ではありません。ワイルドカードの範囲がある場合、私は通常、サブドメインのスキャンと、これらのホスト上のフォルダとファイルのクイックワードリストを実行します。現在、大規模なプログラムの資産を簡単にマッピングするためのツールを開発中です。バグバウンティで成功するために大規模な偵察戦略が必要だとは思いませんが、ある種のプログラムには有効です。

見つけたバグの中で一番面白かったもの(またはお気に入り)を教えてください。

あるバグバウンティプログラムのWebポータルで、ユーザー名「admin」でアカウントを作成しました。このユーザーネームはまだ使われておらず、そのユーザーはなぜかユーザーネームのおかげで追加の権限を得たことが判明しました。開発者は何を考えてこの機能を追加したのでしょう。

あなたの強みはどのようなものですか?どのような種類のツールを頼りにしているのか、どのように選んでいるのか、そしてどれがお気に入りなのか教えてください。

私のメインツールはBurp Suiteで、必要なものはほとんど揃っています。これは素晴らしい製品で、ずっと開いています。それに加えて、James Kettle氏が開発した無料のツール「Turbo Intruder」を頻繁に使っています。このツールは、Pythonスクリプトを使用して、特定の攻撃やレースコンディションのテストを簡単に行うことができます。

偵察にはdirsearchとamassを使っていますが、それくらいです。

既存のツールに加え、私は頻繁にPythonスクリプトを使用して、バグを再現しやすくしています。これは、通常なら再現が面倒なタイプのバグにとても有効です。基本的なプログラミングを練習しておくと、画面の裏側でどのように機能が実装されているかを考えるのに役立ちますから、バグハンターの皆さんにはお勧めします。

バグハントについて、過去の自分にどんなアドバイスをしますか?

私は、バグハンティングをビジネスとしてとらえ、ROIを最大化するようにしています。この場合、時間は投資であり報奨金は報酬です。最初のころは、自分のレポートが企業に与える影響について気にしていませんでした。そして、多くのバグを発見しましたが、受け取った報奨金は非常に少額でした。その後、脆弱性がもたらす実際の影響を評価することに重点を置くようになり、その脆弱性をさらに調査することに時間を費やす価値があるかどうかを判断するようになりました。

何かメモを取るアプリやナレッジマネジメントシステムを使っていますか?

正直なところ、私はほとんどメモを取らないんです。何か面白いことを発見して、後で調べようと思ったら、たいていポストイットにキーワードを書き込んでいます。範囲が広いプログラムであれば、何か特別なことを発見したらMarkdownでメモすることもあります。もっとメモを取ることで、昔のターゲットに再訪したときに役立つような、より良い戦略を目指したいと思っています。

バグバウンティは、個人的なスキルだけでなく、技術的なスキルにも取り組む必要があると個人的には思っています。これには、感情の管理、重複や「失敗」の受け入れ、個人的な恐怖や疑問の克服などが含まれます…バグバウンティのこの非技術的な側面に対処するための最後のアドバイスはありますか?

バグバウンティが私に教えてくれたことの1つは、間違いなく忍耐です。私は以前、企業が脆弱性を適切に評価するのに必要な時間を過小評価していました。特に、専門のセキュリティチームがない場合はなおさらです。数日以内に返事が来ないと、とてもイライラしていたのですが、今ではそのプロセスに感謝することを学びました。特にIntigritiでは、チームがバグハンターのことを気にかけていてくれていることが分かっています。つまり、自分のレポートに対する返信を気にしながら時間を過ごす必要がないのです。

幸いなことに、重複して対応することはあまりありません。私にとっては、正しい方向に進んでいたけれど、もっと早く対応しなければならなかったということなのです。

バグハンターとしてまだ志していることは何ですか?つまり、学習目標や金銭的な目標、コラボレーションの希望などはありますか?

バグハントの作業時間と報奨金をもう少し安定させたいと考えています。私はよく、数日間集中してバグハントをして、その後数日間はほとんど何もしないことがあります。これは長期的に見るとあまり健康的とは言えないので、少しペース配分を変えたいと思っています。

あとは、XXEやSQLインジェクションなど、まだ十分に調べていない特定の脆弱性にももう少し力を入れたいと考えています。

メンターでもコミュニティメンバーでも、あなたがエールを送りたいバグハンターは誰ですか?

私は、James Kettle(@albinowax)が発信している作品の大ファンです。彼は、Cache Poisoning、HTTP Desync Attacks、および潜在的な脆弱性を自動的に検出する方法について、いくつかの素晴らしい技術的な講演を行っています。私は、彼の無料ツールを非常に頻繁に使用しています。

また、Mediumに掲載されている@terjanqの技術的な文章を読むのも好きです。彼は、奇妙なブラウザの癖について非常に詳しいです。

他のハンターとコミュニケーションをとってみます。たとえ特定の脆弱性についての協力的でなくても、知識を共有し、受け取ることは、より良くなるために最も重要なことの一つだからです。

すでに他のバグハンターとコラボレーションをしたことがありますか?また、今後コラボレーションを希望する人がいれば教えてください。

Kuromatae(@Kuromatae666)とは、Intigritiのプライベートプログラムでコラボレーションを行い、素晴らしい結果を残しました。お互いに違うスキルを持っているので、一緒になっていいバグを見つけられたのはよかったです。私は、特定の人と共同作業をしたいとは思っていません。気が向いたら、誰でもダイレクトメッセージを送ってください。

バグハンターを始めたら、他のハンターとコミュニケーションをとってみることをお勧めします。たとえ特定の脆弱性についての共同研究でなくても、知識を共有したり受け取ったりすることは、より良くなるために最も重要なことの一つです。

バグバウンティはあなたの人生を変えましたか?そして、Intigritiはあなたのバグハンター人生にどのように役立ちましたか?

バグバウンティを積極的に始めてからまだ1年ほどしか経っていませんが、間違いなく私の人生に影響を与えています。自分の仕事に情熱を持っている魅力的な人たちとたくさん話すことができたし、たくさんのことを学ぶことができました。学生なので生活費もなく、バグバウンティは後々使える経済的なバッファになったのは間違いありません。

インタビューに答えていただき、ありがとうございました。最後に一言お願いします。

このような素晴らしいプラットフォームを提供してくださっているIntigritiの皆様に感謝いたします。彼らは、自分たちのプラットフォームで活動するバグハンターを本当に大切にしてくれています。Intigritiがなければ、私は今ここにいないでしょう。

出典:Intigriti

https://blog.intigriti.com/2020/07/14/bug-business-6-get-to-know-robin-intigritis-top-hacker-in-q1/

———————————————

バグバウンティプログラムを活用してみる

スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。

バグバウンティ運用代行サービス『Bugty』

4万人のバグハンターによる
世界レベルでのセキュリティ・サービス品質を実現
Securify Bugty

ブログ一覧へ戻る

サービスに関するご質問・ご相談など
お気軽にお問い合わせください