Enviar pesquisa
Carregar
Mozillaの報奨金制度で200万円ほど稼いだ話
•
16 gostaram
•
6,628 visualizações
Muneaki Nishimura
Seguir
「第55回 HTML5とか勉強会」の発表資料です
Leia menos
Leia mais
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 23
Baixar agora
Baixar para ler offline
Recomendados
Welcome to the Black Hole of Bug Bounty Program
Welcome to the Black Hole of Bug Bounty Program
Muneaki Nishimura
Welcome to the Black Hole of Bug Bounty Program Rebooted
Welcome to the Black Hole of Bug Bounty Program Rebooted
Muneaki Nishimura
2013.03.18 JIPDEC S/MIME普及シンポジウム
2013.03.18 JIPDEC S/MIME普及シンポジウム
UEHARA, Tetsutaro
Firefoxの倒し方
Firefoxの倒し方
Muneaki Nishimura
Find Blue Oceans - Through the Competitive World of Bug Bounty
Find Blue Oceans - Through the Competitive World of Bug Bounty
Muneaki Nishimura
Mozillaの報奨金制度で100万円ほど稼いだ話
Mozillaの報奨金制度で100万円ほど稼いだ話
Muneaki Nishimura
Firefoxの倒し方 by 西村 宗晃 (にしむねあ)
Firefoxの倒し方 by 西村 宗晃 (にしむねあ)
CODE BLUE
基調講演:CTF: クールな奴らは皆やってるよ by クリス・イーグル
基調講演:CTF: クールな奴らは皆やってるよ by クリス・イーグル
CODE BLUE
Recomendados
Welcome to the Black Hole of Bug Bounty Program
Welcome to the Black Hole of Bug Bounty Program
Muneaki Nishimura
Welcome to the Black Hole of Bug Bounty Program Rebooted
Welcome to the Black Hole of Bug Bounty Program Rebooted
Muneaki Nishimura
2013.03.18 JIPDEC S/MIME普及シンポジウム
2013.03.18 JIPDEC S/MIME普及シンポジウム
UEHARA, Tetsutaro
Firefoxの倒し方
Firefoxの倒し方
Muneaki Nishimura
Find Blue Oceans - Through the Competitive World of Bug Bounty
Find Blue Oceans - Through the Competitive World of Bug Bounty
Muneaki Nishimura
Mozillaの報奨金制度で100万円ほど稼いだ話
Mozillaの報奨金制度で100万円ほど稼いだ話
Muneaki Nishimura
Firefoxの倒し方 by 西村 宗晃 (にしむねあ)
Firefoxの倒し方 by 西村 宗晃 (にしむねあ)
CODE BLUE
基調講演:CTF: クールな奴らは皆やってるよ by クリス・イーグル
基調講演:CTF: クールな奴らは皆やってるよ by クリス・イーグル
CODE BLUE
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
Webプラットフォームのセキュリティ
Webプラットフォームのセキュリティ
Muneaki Nishimura
Firefoxの日和見暗号がカジュアルに無効化された話
Firefoxの日和見暗号がカジュアルに無効化された話
Muneaki Nishimura
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
Muneaki Nishimura
Future of Web Security Opened up by CSP
Future of Web Security Opened up by CSP
Muneaki Nishimura
そろそろ押さえておきたい AngularJSのセキュリティ
そろそろ押さえておきたい AngularJSのセキュリティ
Muneaki Nishimura
Webアプリ開発者のためのHTML5セキュリティ入門
Webアプリ開発者のためのHTML5セキュリティ入門
Muneaki Nishimura
GeckoのLocal Storageについて調べてみた
GeckoのLocal Storageについて調べてみた
Muneaki Nishimura
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Muneaki Nishimura
Firefox OS 起動の仕組みを調べてみた
Firefox OS 起動の仕組みを調べてみた
Muneaki Nishimura
Mais conteúdo relacionado
Mais de Muneaki Nishimura
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
Webプラットフォームのセキュリティ
Webプラットフォームのセキュリティ
Muneaki Nishimura
Firefoxの日和見暗号がカジュアルに無効化された話
Firefoxの日和見暗号がカジュアルに無効化された話
Muneaki Nishimura
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
Muneaki Nishimura
Future of Web Security Opened up by CSP
Future of Web Security Opened up by CSP
Muneaki Nishimura
そろそろ押さえておきたい AngularJSのセキュリティ
そろそろ押さえておきたい AngularJSのセキュリティ
Muneaki Nishimura
Webアプリ開発者のためのHTML5セキュリティ入門
Webアプリ開発者のためのHTML5セキュリティ入門
Muneaki Nishimura
GeckoのLocal Storageについて調べてみた
GeckoのLocal Storageについて調べてみた
Muneaki Nishimura
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Muneaki Nishimura
Firefox OS 起動の仕組みを調べてみた
Firefox OS 起動の仕組みを調べてみた
Muneaki Nishimura
Mais de Muneaki Nishimura
(10)
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Webプラットフォームのセキュリティ
Webプラットフォームのセキュリティ
Firefoxの日和見暗号がカジュアルに無効化された話
Firefoxの日和見暗号がカジュアルに無効化された話
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
Future of Web Security Opened up by CSP
Future of Web Security Opened up by CSP
そろそろ押さえておきたい AngularJSのセキュリティ
そろそろ押さえておきたい AngularJSのセキュリティ
Webアプリ開発者のためのHTML5セキュリティ入門
Webアプリ開発者のためのHTML5セキュリティ入門
GeckoのLocal Storageについて調べてみた
GeckoのLocal Storageについて調べてみた
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Firefox OS 起動の仕組みを調べてみた
Firefox OS 起動の仕組みを調べてみた
Mozillaの報奨金制度で200万円ほど稼いだ話
1.
Mozillaの報奨金制度で 200万円ほど稼いだ話 第55回 HTML5とか勉強会 2015年3月12日 Welcome to
the Black Hole of Bug Bounty Program –VERIFIED FIXED-
2.
にしむねあ Weekend Bug Hunter Lecturer
of Security Camp 2014
3.
Firefox OSコミュニティから来ました http://itpro.nikkeibp.co.jp/atcl/column/14/508663/020900007/
4.
コミュニティは社会の縮図
5.
コミュニティは社会の縮図 食っていけるやつ そうでないやつ
6.
コミュニティは社会の縮図 食っていけるやつ そうでないやつ おれら
7.
"フォクすけ" (C) 2006
Mozilla Japan そんなおれらの新しい生き方 Mozillaのセキュリティバグ報奨金制度
8.
https://www.mozilla.org/en-US/security/bug-bounty/
9.
• 重大なセキュリティバグを発見した人に Mozillaが報奨金を支払う制度 • バグ1件につき最高3000ドル(約30万円)
10.
"フォクすけ" (C) 2006
Mozilla Japan どのくらい儲かるの?
11.
この5か月間で17,500ドル 2014.11 $3000 Bug
1069762 2014.12 $6000 Bug 1101158 Bug 1102204 2015.01 $2500 Bug 1065909 Bug 1106713 2015.03 $6000 Bug 1109276 Bug 1111834
12.
"フォクすけ" (C) 2006
Mozilla Japan お金になるバグって?
13.
https://www.mozilla.org/en-US/security/advisories/mfsa2015-13/
14.
HSTSとHPKPという保護機能を迂回できた HSTS • 指定されたホストとの全ての通信をHTTPSにする HPKP • 正規の証明書以外によるHTTPS通信を禁止する
15.
HSTSが指定されたサイトにHTTPでアクセスすると http://securityheaders.com/ HTTPを指定
16.
自動的にHTTPSで接続される
17.
しかしURLの末尾にドットを付けると http://securityheaders.com./ 末尾にドット
18.
HTTPでアクセスされる (HSTSが効いてない)
19.
<a href="http://example.jp./"> こういうリンクを踏ませれば 暗号化せずに通信させることができる 末尾にドットHTTPを指定
20.
絶対ドメイン名の考慮が抜けていたのが原因 DNSレコードを設定するときのアレ
21.
これで1000ドル獲得
22.
"フォクすけ" (C) 2006
Mozilla Japan ドット1つで10万円 ねっ、簡単でしょ?
Baixar agora