【バグハンターインタビュー】Katie Paxton-Fear
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
この【バグハンターインタビュー】シリーズでは、印象的な実績や変わった手法でコミュニティに貴重な貢献をしたIntigritiのコミュニティメンバーに話を聞いていきます。今回は、ハッキング初心者に向けた動画や上級者が新しい知識を得る手助けをする動画を配信しているYoutubeチャンネルを運用しているKatie Paxton-Fear(通称InsiderPhD)氏にお話を伺いました。
Katieさん、こんにちは。Katie Paxton-Fearとはどのようなことをしている人なのでしょうか?
皆さんこんにちは、Katieと申します。
私は講師であり、アプリケーションセキュリティエンジニアであり、バグハンターでもあります。そして空いた時間で、バグバウンティに参加する方法と、あらゆる種類のウェブのハッキングを他の人に教えるようなYouTubeもやっています。
私たちIntigritiは、当然ながらバグバウンティについて常に関心を持って普段過ごしています。「バグバウンティ」という言葉を初めて耳にしたのはいつですか?
当時、私は博士課程在学中に大学の学部生として在籍していましたので、5年前か6年前くらいの話です。
バグバウンティを使い、何かのプログラムに提出した最初のバグは何だったか覚えていますか?
あの体験は忘れられません。
幸運なことに、ロンドンで開催されたライフハックイベントに行くことができたんです。
私が行った時は、Burpの設定方法が題材であり、初めて偵察の手順を教えてもらいました。そしてなんと、そこで私は最初のバグを見つけました。
それはあまり複雑なバグではなく、公開されたAPIに気づき、PUTリクエストは通常通り行いました。そんな中、クッキーを削除することができましたが、まだ動作していることに気づきました。
これが私の最初のIDOR(Insecure DirectObjectReferenceという脆弱性)を見つけた方法です。
YouTubeチャンネルについて少しお話ししましょう。いつから始めたのですか?
2年前にそのライブイベントに参加した後とても幸運なことに、DEFCONの開催期間中にラスベガスで行われた別のライブイベントにメンターとして招待されました。その際、他のメンターと出会いました。その時点で私は、他のメンターよりもハッキングの経験が少し豊富であり、彼らにとって最も難しいことのひとつが、Burpの実際の使い方であることに気づきました。
Burpは素晴らしいツールですが、誰もその使い方をきちんと説明してくれません。そして、それぞれのタブが何をするのか、何のために使うのかを知らなければなりません。自分が苦労しているように、彼らも苦労しているのだと感じました。そこで、私が初めて作ったビデオは、「Burpの各タブが何をするのか、どう使うのか」を紹介するものでした。
YouTubeの動画を確認したところ、あなたのチャンネルで最も再生回数の多い動画は「ターゲットの選び方」というものでした。不思議に思うのですが、なぜ人々はターゲット選びで多くの悩みを抱えているのでしょうか?なぜ、この動画が最も成功しているのでしょうか?
それは、まだ誰もその部分について話していないからだと思います。文章を書く人の多くは、非常に成功している人たちなので、そもそもどうやってターゲットを選んだのかについてはあまり話していません。いきなりハッキングの話から入ってしまうんです。その理由としては、プライベートで招待されたからとか、いろいろあると思います。または、あまり重要な話題と考えていなかったからかもしれません。
しかし「どうやってハッキングするものを選べばいいんだろう?」「どうやったら正しいものをハックしていると分かるのか?」というのはバグハンターが抱く最大の疑問です。
ハッキングの話に戻ります。バグバウンティプログラムに沿ってハッキングする場合、最も興奮することは何でしょう?
私はいつも、自分のことをシャーロック・ホームズのような人物だと思っています。手がかりを探し出し、それを追いかけて、どこに行き着くのか、その過程を楽しんでいます。でも、今一番わくわくするのは、私についてくる人たちが成功していくことです。
新しいターゲットにアプローチするとき、まず何をするのでしょうか?また、新人バグハンターへのアドバイスを1つだけあげるとしたら何でしょうか?
プログラムを始めて最初にすることは、すべての機能を試すことです。どんな機能を詳しく確認したいか、まずは確認します。自分のアカウント名を変更できるのか?メールアドレスや国、パスワードは変更できるのか?この機能は何か?いつも全てのボタンを押して確認します。
そのうえで、私が一番言いたいのは、「偵察にとらわれないで」ということです。今、偵察がとても流行っています。多くの人が、「偵察が終わったから、次はどうしよう」という経験をしています。偵察から実戦へ移行するのは、かなり難しいことです。攻撃対象領域を広げるために基本的な偵察は行いますが、手動でバグを悪用することに焦点を当てましょう。
Burp Suite以外で、人に勧めたいツールハッキングのナンバーワンは何ですか?
「Burp Suite」と「脳」(この2つが最も重要なツールだと思います)以外ですね?
私の好きな道具のひとつは、まずプログラミング言語ですね。だから、私にとってはPythonです。ただ実行するだけで済むようなツールを選ぶとしたら、今はKiterunnerですね。APIエンドポイントを見つけるのがとても上手なので、私のお気に入りのAPIハッキングツールのひとつです。
では「どちらかといえば」という質問をいくつかさせていただきますね。あなたは、非常に小さな範囲のバグバウンティプログラムと、本当に大きな範囲のバグバウンティプログラムのどちらを選びますか?
用途によると思うので、何とも言えません。とはいえ、他の人はそれを好まず、競争相手も少ないので、私は小さな範囲でハックすることを好むかもしれません。
Facebookの殿堂入り、Googleの殿堂入りのどちらを選びますか?
消極的な回答ですがGoogleです。
私は、お金を持ちすぎている巨大な多国籍企業のようなところに行くよりも、むしろ小さな組織を助けたいと思っています。中小企業の方が、より多くの支援を必要としていると考えるからです。
もう1つ。お母さんと10歳の子供たちにハッキングを教えようとするのでは、どちらがいいのでしょうか?
実は過去に母にハッキングを教えた経験があります。
しかし、母は機械音痴でありハッキングを教えることはとても大変でした。
ですので、10歳の子供たちに教えてみたいです。
Katieさん、インタビューありがとうございました。最後に視聴者に向けて一言お願いします。
初めてのバグハントに行き詰まっている方へ。もし、SNSで他の人の成功を見つけて嫌な気分になっているとしたら、そんなことはしないでください。その時が来れば、最初のバグを見つけることができます。時間はかかるかもしれませんが、必ず見つかります。とにかく根気よく続けることです。誇大広告に踊らされたりせず、自分のやりたいようにやりましょう。あなたならできます!
ーーーーーーーーーーーーーーーーーーーー
出典:Intigriti
https://blog.intigriti.com/2021/06/24/meet-the-hacker-katie-paxton-fear/
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。