【バグハンターインタビュー】pudsec
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
【バグハンターインタビュー】は、バグバウンティ業界の専門家がバグの種類や傾向について光を当てるインタビューシリーズです。Shaun氏(pudsec)は、2020年第1四半期と第2四半期の両方で、リーダーボードで3位を獲得しました。
彼のバグバウンティへの参加が比較的新しいことを考慮すると、驚くべき成果です! そこで当然ながら、彼に話を聞きたいと思いました。
目次
- 1 Shaunさん、こんにちは。あなたがどんな人なのか、どうやってバグバウンティ・ハンターになったのか、少し教えてください。
- 2 では、今はどのような生活を送っているのでしょうか。バグバウンティをどのようなペースで行い、それはあなたの生活にどのようにフィットしているのでしょうか?
- 3 どのようにターゲットにアプローチしますか?決められた手順に従っていますか?考えられる全てのバグ、全てのエンドポイントに対して脆弱性のテストを行いますか?あるいはそれ以外の方法でしょうか?
- 4 バグハントで重要な役割を果たすのは偵察ですか?また、それはあなたにとってどのようなものですか?
- 5 最も力を入れて探す脆弱性のターゲットがあれば、その脆弱性名とその理由を教えてください。
- 6 一番面白かったバグ(またはお気に入り)を教えてください。
- 7 あなたの強みはどのようなものですか?どのような種類のツールを頼りにして、どのように選んでいますか、そしてあなたのお気に入りはどれですか?
- 8 自動化について説明してもらいましょう。多くのハッカーは、偵察、大規模テスト、さらにはサブドメイン乗っ取りなどのバグの自動報告などに活用しています。しかし、手動テストでしか発見できないようなロジックや高度なバグに焦点を当てたい人もいます。自動化について、あなたはどのようにお考えでしょうか?また、それに時間を費やす価値があると思いますか?
- 9 過去の自分にハンティングのアドバイスをするとしたら?
- 10 ハッカーが直面する大きなハードルのひとつに、情報の過多があります。攻撃やツールの進化のスピードに、どのようについていけばいいのでしょうか。また、情報量の多さに圧倒されている初心者の方に、どのようなことを伝えたいですか?
- 11 報奨金で購入した、一番魅力的なものは何ですか?
- 12 メンターでもコミュニティメンバーでも、あなたがエールを送りたいハッカーは誰ですか?
- 13 バグバウンティプラットフォームに期待すること、Intigritiを選んだ理由は何ですか?
- 14 インタビューに答えていただき、ありがとうございました。最後に一言お願いします。
Shaunさん、こんにちは。あなたがどんな人なのか、どうやってバグバウンティ・ハンターになったのか、少し教えてください。
私は38歳で、結婚して3人の子供がおり、現在オーストラリアの一番いいところに住んでいます。高校時代からIT業界で働き、コンピュータの組み立て(ジャンパーやディップスイッチのこと)、コンピュータやソフトウェアの販売、テクニカルサポート、ソフトウェアやウェブ開発、企業の管理職や技術職など、ほとんどの分野で仕事をしてきました。
幼い頃から自宅のコンピュータを分解し、再び組み立てようと試みました。途中で失敗することも多々ありましたが、図書館に通い、測定しつつ、試行錯誤して、再び使えるようにしました。そして、システムの起動ファイルを変更し、再起動して、どんなゲームでも実行して、改善されるかどうかを確認し、何度も何度も繰り返すのです。今まで何回DOS、Windows、Linuxをインストールしてきたか数えると、ゾッとするほどです。
私がバグバウンティにハマったのは、昨年末に@nahamsecのビデオを見てからです。その後、他の関連ビデオを見ていると、彼や他の人が見つけたバグの多くは、私が過去にずっと前に好奇心で発見したものであることに気づきました。そこで、バグの種類をできる限り調べ、文章をたくさん読んで、自分を奮い立たせ、ハンティングを開始しました。
では、今はどのような生活を送っているのでしょうか。バグバウンティをどのようなペースで行い、それはあなたの生活にどのようにフィットしているのでしょうか?
私は、Linuxシステム管理者およびPython/PHPソフトウェア開発者としてフルタイムで勤務しています。家族、スポーツ、仕事と、バグハントのための時間を見つけるのは難しいので、今のところ趣味に近いですが、脆弱性を見つけることはとても中毒性があり、やみつきになります。仕事から帰ってきて、子供たちが宿題に夢中になっているときにバグハントをして、子供たちが寝た後に1時間くらいで終わるようにしています。しかし、最近はハントをする時間が限られているので、パソコンから離れている間に、いくつかの偵察作業を自動化する方法を検討しています。
どのようにターゲットにアプローチしますか?決められた手順に従っていますか?考えられる全てのバグ、全てのエンドポイントに対して脆弱性のテストを行いますか?あるいはそれ以外の方法でしょうか?
私はまだ初心者で、いろいろなことを学びながらやっているので、決まった方法論があるわけではありません。私は通常、まず簡単に解決できるバグを探し(あるいはGoogle Dorkを使いながら)それが尽きたら、さらに時間をかけて他のところを探すことにしています。
私は、隠れたエンドポイントをファジングしたり、古い資料などを悪用することで、多くの良いバグを発見しました。もし、書き込みで新しい情報を見つけたら、それについてできるだけ多くの知識を集め、過去のターゲットを再確認して、そこでもまた何か見つけられるかどうか試してみます。
バグハントで重要な役割を果たすのは偵察ですか?また、それはあなたにとってどのようなものですか?
偵察は今のところ基本的なもので、まずブラウザとBurpでターゲットを閲覧し、それぞれのリクエストを確認しながら進めていく予定です。何か面白そうなものが出てきたら、それに注目するか、後でメモしておきます。ウェブサイトにはあまりサインアップせず、未認証の状態でどんなものが出てくるか見るだけです。閲覧中に見落とした可能性のある他のエンドポイントをWaybackでチェックし、何がまだ生きているのかを確認します。基本的なバグを探し終えたら、次は興味深いパスのディレクトリファジング、Javascriptファイルの検査、利用可能な他のサブドメインを調べて、また繰り返します。
最も力を入れて探す脆弱性のターゲットがあれば、その脆弱性名とその理由を教えてください。
いくつものウェブサイトがあり、他のハンターが見たことも考えたこともないようなものをテストできるような、オープンな対象範囲のターゲットに取り組むのがとても楽しいです。
また、同じようなコードベースを持つサイトもあり、テストする対象が広がります。
私は様々な種類のバグに遭遇することが多いのですが、単純なXSSで十分で、それ以外はおまけ程度です。
一番面白かったバグ(またはお気に入り)を教えてください。
これはおそらく私が初めて発見したバグの一つですが、それなりのインパクトがありました。あるターゲットを閲覧していたところ、認証にGoogle SSOを使用している従業員用のプライベートポータルを発見しました。Gmailアカウントでログインしようとしたのですが、無効なドメインであるとして失敗しました。送信されたリクエストをチェックすると、実際には私のGmailアドレスを平文で送信していることが分かりました。そこで、もう一度ログインを試みることにしましたが、今度はリクエストを傍受して、pudsec@target.com に変更しました。結局、会社のクライアントポータルにログインすることに成功し、その会社のすべての顧客データにアクセスできるようになりました。
あなたの強みはどのようなものですか?どのような種類のツールを頼りにして、どのように選んでいますか、そしてあなたのお気に入りはどれですか?
最近はできるだけシンプルに、Burp Communityとブラウズしています。あるパスに興味深い隠しファイルがあるかもしれないと感じたら、dirsearchを起動し、エンドポイントが私が発見したパラメータよりも提供するものがあると思ったら、それらに対してArjunを実行します。もしプログラムが広い範囲の対応ができるなら、私はできるだけ多くの潜在的なドメインを見つけようとします。ドメインリスト、dorkingなどを活用し、そしてそれらが関連しているかどうか、どんな良いものを見つけられるかどうか、それぞれを手動でチェックアウトします。
自動化について説明してもらいましょう。多くのハッカーは、偵察、大規模テスト、さらにはサブドメイン乗っ取りなどのバグの自動報告などに活用しています。しかし、手動テストでしか発見できないようなロジックや高度なバグに焦点を当てたい人もいます。自動化について、あなたはどのようにお考えでしょうか?また、それに時間を費やす価値があると思いますか?
今のところ、私のプロセスはほとんど手作業ですが、先ほど述べたように、コンピュータから離れるときに私の代わりに作業を行う自動化の方法を検討しています。
私の仕事は、データ収集を自動化するためのコードを書くことなどがあるので、ツールとして必要なものを開発するための時間を見つけることです。時折、発見したバグの自動テストに役立つようなコードを素早く書いたり、プログラムからの報奨金を得るために書いたスクリプトが大活躍したりしています。
過去の自分にハンティングのアドバイスをするとしたら?
物を壊すことへの興味は小さい頃からあったのですが、当時はそれを追求するプラットフォームがなかったのだと思います。だから、とにかくあらゆることを学び、改善し、いじり続け、既成概念にとらわれないようにすれば、学んだことはいつか必ず役に立つと思うんです。
ハッカーが直面する大きなハードルのひとつに、情報の過多があります。攻撃やツールの進化のスピードに、どのようについていけばいいのでしょうか。また、情報量の多さに圧倒されている初心者の方に、どのようなことを伝えたいですか?
初心者は膨大な知識に圧倒されるかもしれませんが、私が始めた頃は、まずツールを知ることに重点を置きました。何週間もバグを発見できないこともありましたが、決意すれば何かが見えてくるので、何事にもやりがいを感じます。
Twitterは、レポート、POC、ガイドなどの素晴らしいリソースで、たくさんのバグハンターが重要な情報を共有しています。私はできるだけ多くのツイートを読みたいのですが、後で読むことにしています。しかし、現時点ではバックログが膨大で、私はハッキングと読書のやりとりをうまく調整する必要があり、それが難しいです。
報奨金で購入した、一番魅力的なものは何ですか?
賞金はすべて子供の教育に直接使われるので、残念ながら魅力的なものは何もありません。
メンターでもコミュニティメンバーでも、あなたがエールを送りたいハッカーは誰ですか?
@thexssratはYouTubeで質の高いバグハントのコンテンツをたくさん公開しているし、人気のあるDiscordチャンネルを運営して、ハッカー志望の人がこの業界でスタートできるよう手助けしています。暇なときはDiscordに飛び込んで、@thexssratと@0xatulと一緒にチャットして、初心者ハッカーが最初のバグを見つけるのを手伝ったり、正しい方向に導いてあげるのが好きなんです。
https://discord.gg/8rUtHj9 で誰でも参加できます。
バグバウンティプラットフォームに期待すること、Intigritiを選んだ理由は何ですか?
Intigritiを見つける前に、他のプラットフォームをいくつか試しましたが、私の努力が評価されていないように感じました。現在、未解決のバグの中には6ヶ月以上前のものもあります。
私が初めてIntigritiにバグを提出したとき、それらは状況に応じてとても迅速に判別され、かつポジティブで励みになるコメントは、特に始めたばかりの私を本当に元気づけてくれました。また、私が正しい道を進んでいること、スタッフが親切で喜んでどんな質問にも答えてくれることを知って、もっと探そうという気にさせてくれました。
彼らはとても効率的で、一度私がバグを提出すると、トリアージはそれを検証しますが、彼らはさらに一歩進んで、他のいくつかのことを試していました。彼らのスキルにより、バグの深刻度を上げ、その仕組みを説明してくれたので、特定のシナリオに関する私の思考プロセスを改善するのに役立ち、報奨金を増やすことができました。
インタビューに答えていただき、ありがとうございました。最後に一言お願いします。
このような素晴らしいプラットフォームを提供してくれたIntigritiと、ただただ素晴らしいトリアージチームに感謝します。
出典:Intigriti
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。
