【バグハンターインタビュー】0xkasper
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
Intigritiのセキュリティアナリストチームは、レポートをバグハンターで判断することはありませんが、トリアージチームを笑顔にするバグハンターがいることは知られています。その中の一人が0xKasper氏で、彼はIntigritiのオフィスから数ブロックしか離れていないところに住んでいます。
Kasperさん、こんにちは。同郷の人がバグハンターで成功しているのは、とても嬉しいです。あなた自身について、またバグハンターになった経緯について教えてください。
もちろんです!私はオランダ人で、現在ベルギーのゲント大学でコンピュータサイエンスの修士課程に在籍しているKasperです。もうすぐ卒業で、夏以降にセキュリティコンサルタントとして働き始める予定です。現在Linuxカーネルのファジングに関する論文を書いています。
CTF(Capture The Flag、情報セキュリティのスキルを競うコンテストのこと)に夢中になったのは、サイバーセキュリティの講義を受けたことからです。これがきっかけで興味がわき、ほぼ毎週末、チームと一緒にプレイしていました。数ヶ月後、バグバウンティについて知り、Hackeroneや後にIntigritiで調べ始めました。昨年8月に初めてバグを提出し、1月から本格的にやるようになりました。
では、今はどのような生活を送っているのでしょうか。バグバウンティをフルタイムでやっているのか、それとも趣味でやっているのか、そしてそれはあなたの生活にどのようにフィットしているのでしょうか?
趣味で始めたバグバウンティですが、今では、かなりアルバイトやフリーランスのような働き方になっています。もちろん、今でも勉強を優先していますし、やる気が起きないときはバグバウンティもやりません。でも、バグバウンティは私の生活の重要な一部になっており、とても楽しいです。
どのようにターゲットにアプローチしますか?決められた手順に従っていますか?考えられる全てのバグ、全てのエンドポイントに対して脆弱性のテストを行いますか?あるいはそれ以外の方法でしょうか?
最初にターゲットに近づくときは、とにかく周りを見渡して、普通のユーザーとしてアプリケーションを使ってみることにしています。バグにつながりそうな興味深い機能、特に以前発見したことのある機能を見つけようとします。
私はあらかじめ決められた方法論に従っているわけではなく、常にターゲットの種類に依存します。しかし、今までバグを発見した時のテクニックを応用することは常に心がけています。
特にお勧めは、いくつかの脆弱性をマスターして、それらを探すことです。それ以外にも、他の種類を探せるだけの十分な知識と技術を持ちましょう。
ターゲットの、すべてのエンドポイントで脆弱性を探すことができます。ですから、多くの異なるプログラムにわたって数個の脆弱性を見つけようとするのはお勧めしません。一つのターゲットに長く留まる方が、ずっと儲かると思います。
バグハントで重要な役割を果たすのは偵察ですか?また、それはあなたにとってどのようなものですか?
正直なところ、私はグーグルで検索する以外、偵察はしていません。そのためには、まずアプリケーションを知り、API名やバージョン、エラーメッセージ、URIのパターンなど、特定のキーワードを探すのが好きです。
最も力を入れて探す脆弱性のターゲットがあれば、その脆弱性名とその理由を教えてください。
私が得意な脆弱性は、SQLインジェクションでしょうか。まれにしか発生しませんが、見るべき場所を知っていればまだ存在します。例えば、WHERE句で起こるIDなどの標準的なインジェクションの他に、ORDER BYやGROUP BY句のような列名を指定する入力でのインジェクションも探す必要があります。
私は最近、オープンソースのアプリケーションをターゲットにするのが好きになってきました。以前は、オープンソースのアプリケーションは非常に堅固にできていると考えていましたが、そうではありません。自分のローカルインスタンスをセットアップして、それを使い倒すことができるのがとても気に入っています。コードを修正したり、好きなところにデバッグ・ログを追加したり、何が起こったかを正確に知ることができるからです。アプリケーションを理解するのに数日かかるかもしれませんが、それだけの価値はありますし、ずっと楽しいですよ。
あなたの強みはどのようなものですか?どのような種類のツールを頼りにしていますか、どのようにそれらを選択していますか、そしてあなたのお気に入りはどれでしょうか?
使用ツールは、ほとんどBurp Suiteだけです。拡張機能では、SSRFにはBurp Collaborator、XSSにはReflector、IDOR/BACにはAutoRepeaterとAutorize、そしてHackvertorを好んで使っています。しかし、これらの拡張機能は、時々、あるいは基本的なケースにしか役に立ちません。最高のツールは、自分自身の経験です。
それ以外に、私は特定のターゲットで何かを悪用するのに役立つPythonスクリプトをいくつか書くかもしれません。ツールを書くことについては考えたことがありますが、まだ手をつけていません。
自動化について説明してもらいましょう。多くのハッカーは、偵察、大規模テスト、さらにはサブドメイン乗っ取りなどのバグの自動報告などに活用している。しかし、手動テストでしか発見できないようなロジックや高度なバグに焦点を当てたい人もいます。自動化について、あなたはどのようにお考えでしょうか?また、それに時間を費やす価値があると思いますか?
現在は、ターゲットへのディープダイブと、マニュアルテストによるロジックや高度なバグに特化したテストを行っています。私は、アプリケーションを理解し、その欠陥を明らかにすることを非常に好みます。しかし、テストの一部を自動化できるようなツールを書こうと思ったこともありますが、まだ手をつけていません。ワークフローを自動化することは価値があると思います。
毎週何時間くらいバグハントをしているのですか?
今のところ、バグハントには週に20〜30時間くらいかけていると思います。その週の勉強の量に大きく左右されます。
バグハントについて、過去の自分にアドバイスするとしたら?
「読むのをやめて、とにかくやってみて」と伝えたいです。私のバグハントの技術や知識のほとんどは、実践的な経験から得たものだと自信を持って言うことができます。だからといって記事や書き込みを読んではいけないというわけではありませんが、読みながらやるべきです。何か面白いことを偶然見つけたと思ったら、その具体的なことについての記事や書き込みを探し、それを応用して、うまくいくかどうかを確認すればいいのです。
バグハンターが直面する大きなハードルのひとつに、情報の過多があります。攻撃やツールの進化のスピードに、どのようについていけばいいのでしょうか。また、情報量の多さに圧倒されている初心者の方に、どのようなことを伝えたいのでしょうか。
世の中には、膨大な量の情報があります。私は、すべてを読もうとせず、優先順位をつけることが重要だと考えています。まだ読みたい記事が開いているタブがどんどん増えてきたら、全部閉じて新しく始めることもあります。
新しい情報を見つけるのに最適な場所のひとつがTwitterです。個人的なブログで、魅力的なバグについての新しい記事に出会えたりします。しかし、そこには否定的な意見も多く、報奨金の最高額のスクリーンショットを公開している人もいるので、バグバウンティに対する誤ったイメージを与えてしまい、落胆してしまうかもしれません。だから、適切な人をフォローすることが重要です。
また、IntigritiのBug Bytesニュースレターや、Pentesterlandの膨大なバグバウンティ書き込みのリストもとても気に入っています。これらの書き込みを一つ一つ見ていくわけではありませんが、自分のターゲットに該当しそうなバグの種類の書き込みはチェックするようにしています。
また、初心者の方は、あまり最新の記事を読まず、まずは基本的なことを中心に勉強することをお勧めします。PortswiggerのWeb Security Academyは素晴らしく、バグの種類ごとに詳細な解説とラボを提供しています。
報奨金で購入した、一番魅力的なものは何ですか?
実はまだカッコいいものを買っていないんです。今は全部貯金しています。
メンターであれ、コミュニティメンバーであれ、あなたがエールを送りたいハッカーは誰ですか?
私は@Robinと@rekter0にエールを送りたいと思います。私たちはあるプログラムで一緒に素晴らしいハッキングを行い、彼らから多くのことを学びました。
また、私のお気に入りのバグバウンティコンテンツ作成者にもエールを送りたいと思います。@InsiderPhD、@STÖK、@Jhaddixです。彼らのコンテンツは、私が始めたばかりのころにとても役立ちました。
バグバウンティプラットフォームに期待すること、Intigritiを選んだ理由を教えてください。
私が思うに、最も重要なのは公平なトリアージであり、Intigritiはまさにそれを実現しています。高速で行われるトリアージもプラスです。
私は他のプラットフォームでバグを報告したことはありませんし、Intigritiでハッキングするのがとても好きなので、その必要性も感じていません。
インタビューに答えていただき、ありがとうございました。最後に一言お願いします。
この度はありがとうございました。もし、質問やコラボレーションを希望する人がいたら、Twitterで連絡してください。@0xkasper
出典:Intigrit
Meet the hacker: 0xkasper, CTF player, student, and hunter.
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。
4万人のバグハンターによる世界レベルでのセキュリティ・サービス品質を実現!
バグバウンティに興味がある方は、お問い合わせ詳細へ記載の上、お気軽にご連絡ください。