Mozillaの報奨金制度で 200万円ほど稼いだ話 第55回 HTML5とか勉強会 2015年3月12日 Welcome to the Black Hole of Bug Bounty Program –VERIFIED FIXED-
Mozillaの報奨金制度で
200万円ほど稼いだ話
第55回 HTML5とか勉強会
2015年3月12日
Welcome to the Black Hole of Bug Bounty Program –VERIFIED FIXED-
にしむねあ
Weekend Bug Hunter
Lecturer of Security Camp 2014
Firefox OSコミュニティから来ました
http://itpro.nikkeibp.co.jp/atcl/column/14/508663/020900007/
コミュニティは社会の縮図
コミュニティは社会の縮図
食っていけるやつ
そうでないやつ
コミュニティは社会の縮図
食っていけるやつ
そうでないやつ
おれら
"フォクすけ" (C) 2006 Mozilla Japan
そんなおれらの新しい生き方
Mozillaのセキュリティバグ報奨金制度
https://www.mozilla.org/en-US/security/bug-bounty/
• 重大なセキュリティバグを発見した人にMozillaが報奨金を支払う制度
• バグ1件につき最高3000ドル(約30万円)
"フォクすけ" (C) 2006 Mozilla Japan
どのくらい儲かるの?
この5か月間で17,500ドル
2014.11 $3000 Bug 1069762
2014.12 $6000 Bug 1101158 Bug 1102204
2015.01 $2500 Bug 1065909 Bug 1106713
2015.03 $6000 Bug 1109276 Bug 1111834
"フォクすけ" (C) 2006 Mozilla Japan
お金になるバグって?
https://www.mozilla.org/en-US/security/advisories/mfsa2015-13/
HSTSとHPKPという保護機能を迂回できた
HSTS
• 指定されたホストとの全ての通信をHTTPSにする
HPKP
• 正規の証明書以外によるHTTPS通信を禁止する
HSTSが指定されたサイトにHTTPでアクセスすると
http://securityheaders.com/
HTTPを指定
自動的にHTTPSで接続される
しかしURLの末尾にドットを付けると
http://securityheaders.com./
末尾にドット
HTTPでアクセスされる (HSTSが効いてない)
<a href="http://example.jp./">
こういうリンクを踏ませれば 暗号化せずに通信させることができる
末尾にドット HTTPを指定
絶対ドメイン名の考慮が抜けていたのが原因
DNSレコードを設定するときのアレ
これで1000ドル獲得
"フォクすけ" (C) 2006 Mozilla Japan
ドット1つで10万円
ねっ、簡単でしょ?