個人的なバグバウンティの学び方

事前知識

セキュリティの基本やモラルを知っておく必要があります。

最低限、IPAの情報セキュリティマネジメントを合格できるようなレベルは身につけましょう。

なぜバグを見つけ、報告するのか？という根本的な目的を理解していないと、単なる攻撃者となり、犯罪者になります。

そうならないよう、この試験レベルの知識とモラルは必須と言えます。

合格率は50%前後なので、簡単な部類です。
合格点を取るだけのような勉強法はやるだけ無駄なので、なぜそうなっているのか理由まで理解するようにしましょう。

始めたての場合

とりあえず検証環境を触ってみる

いきなり技術的な知識を学ぶのは効率が悪く、面白くない場合があります。

そのため、とりあえず検証環境を触ってみるのがオススメです。

以下のような検証環境（やられアプリ）があります。
調べると再現方法などが出てくるはずですので、まずは現象として確認すると良いと思います。

OWASP juice shop

OWASP BWA

気になることを調べる

検証環境を触っていたりして気になったことを調べます。

バグバウンティの場合は、仕事で行う脆弱性診断と違って網羅性を気にする必要が無いので知りたいところだけ調べてみましょう。

ですが、最終的には自分で報告する必要があるので、基礎知識を身につけるのは重要となってきます。

最初は本があると便利です。
調べると記事などが大量に出てきますが、取捨選択するのが大変です。

日本語の本ですと、体系的に学ぶ 安全なWebアプリケーションの作り方が良いと思います。

実際のバグバウンティではどんな脆弱性が報告されているかを知る場合はリアルワールドバグハンティングが良いです。

頑張らない

ここまでで「検証環境を触る」「知りたいことを学ぶ」と続いてきましたが、始めたての場合は頑張らないことが大切だと思っています。

集中力やモチベーションにはブレがあるので、あまり頑張りすぎると継続することが難しくなります。

私は始めたての頃に調子に乗って、1日5～6時間やってみたことがありました。

その日はなんとかやり遂げる事ができましたが、これを2,3日続けるとなると滅入ってしまって、しばらくは1日数十分くらいしか取り組めませんでした。

バグバウンティは基本的には1～2ヶ月の数ヶ月単位で行うので、学んでいる段階でも継続する工夫をしたほうが良いと思いました。

個人的には、始めたてであれば1日30分やって体に慣らすのが良いかなと思っています。

慣れてきたら

賞金が出ないものにチャレンジする

バグバウンティという制度柄、競争が必須となります。

ですが、賞金が出ないものは競争があまりないです。

ここから始めるのが良いと思います。

日本ですと、IPA経由で脆弱性を報告するのも良いです。

基本的にWebサイトは出来ないものと思ったほうが良いですが、ローカルで環境が構築できるWebアプリや、スマホアプリなどはある程度ハントできます。

報告した内容が認められると、CVE番号が発行されます。

情報収集する

バグバウンティは毎日情報が飛び交うので、定期的に情報を確認しましょう。

hackeroneでバグハンターのインタビューがあるのですが、大半がTwitterとhackeroneのレポートです。

「bugbounty」「bugbountytips」のハッシュタグを追いながら、hackeroneのレポートを追っていければいいかなと思います。

メンタルケア

バグバウンティのほとんどは結果がすぐ出るものではなく、また安定して結果が出るものではないので、メンタルケアが特に重要になってきます。

hackeroneのインタビューにも、「バグハント以外のことは何をしているか？」みたいな項目があります。

趣味を楽しむ、散歩をする、ゲームをする、家族との時間をすごすなど様々です。

「1日中没頭して頑張る！」というのは無理だというのがわかります。

しばらくは「結果が出たらラッキー」とか、「気になった手法試してみよ」とか、「色んなサイトで使われてる技術見てみたいな」のような適当な理由で取り組み続けるのが良いかなと思います。

ある程度実績が出せるようになってきたら

この先は私もわからないです。
レッツエンジョイ、バグバウンティ！

おわりに

2021/4/7に内容を少し修正しました。

以前がbeta版という扱いだったので、今回で本番ということにします。

私が取り組んでいて、「取り組み続ける」というのが一番難しかったので、そこを追加する形になりました。

バグバウンティを楽しめる方が増えればいいなと思います。

最後まで見ていただいてありがとうございました。

【PR】コミュニティの紹介

サイバーセキュリティ情報共有コミュニティをやっています。

インシデント例や脆弱性情報などを取り扱っています。

毎週金曜日はボイスチャットにて雑談会を行っています。

ご興味ありましたらご参加いただけると嬉しいです！

参加URLはこちら

https://discord.gg/6ra6KmxepD

404 NOT FOUND | Nickブログ

nicksecuritylog.com

参考

Bugcrowd コミュニティ

We launched a Bugcrowd Discord server for our community! Join us on Discord to meet fellow security researchers, get help, chat about the latest infosec news, or even jump in voice-chat #ItTakesACrowd

Bugcrowd Discord: https://t.co/KPUQSKtF4U

— bugcrowd (@Bugcrowd) May 15, 2019

hackeroneコミュニティ

Getting started in Bug Bounty

Bug Bounty Methodology (TTP- Tactics, Techniques, and Procedures) V 2.0

BUG BOUNTY HUNTING (METHODOLOGY , TOOLKIT , TIPS & TRICKS , Blogs)

Bug Bounties — A Beginner’s Guide

Bug Bounties — A Beginner’s Guide