Mozillaの報奨金制度で 200万円ほど稼いだ話 第55回 HTML5とか勉強会 2015年3月12日 Welcome to the Black Hole of Bug Bounty Program –VERIFIED FIXED-
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Mozillaの報奨金制度で
200万円ほど稼いだ話
第55回 HTML5とか勉強会
2015年3月12日
Welcome to the Black Hole of Bug Bounty Program –VERIFIED FIXED-
にしむねあ
Weekend Bug Hunter
Lecturer of Security Camp 2014
Firefox OSコミュニティから来ました
http://itpro.nikkeibp.co.jp/atcl/column/14/508663/020900007/
コミュニティは社会の縮図
コミュニティは社会の縮図
食っていけるやつ
そうでないやつ
コミュニティは社会の縮図
食っていけるやつ
そうでないやつ
おれら
"フォクすけ" (C) 2006 Mozilla Japan
そんなおれらの新しい生き方
Mozillaのセキュリティバグ報奨金制度
https://www.mozilla.org/en-US/security/bug-bounty/
• 重大なセキュリティバグを発見した人にMozillaが報奨金を支払う制度
• バグ1件につき最高3000ドル(約30万円)
"フォクすけ" (C) 2006 Mozilla Japan
どのくらい儲かるの?
この5か月間で17,500ドル
2014.11 $3000 Bug 1069762
2014.12 $6000 Bug 1101158 Bug 1102204
2015.01 $2500 Bug 1065909 Bug 1106713
2015.03 $6000 Bug 1109276 Bug 1111834
"フォクすけ" (C) 2006 Mozilla Japan
お金になるバグって?
https://www.mozilla.org/en-US/security/advisories/mfsa2015-13/
HSTSとHPKPという保護機能を迂回できた
HSTS
• 指定されたホストとの全ての通信をHTTPSにする
HPKP
• 正規の証明書以外によるHTTPS通信を禁止する
HSTSが指定されたサイトにHTTPでアクセスすると
http://securityheaders.com/
HTTPを指定
自動的にHTTPSで接続される
しかしURLの末尾にドットを付けると
http://securityheaders.com./
末尾にドット
HTTPでアクセスされる (HSTSが効いてない)
<a href="http://example.jp./">
こういうリンクを踏ませれば 暗号化せずに通信させることができる
末尾にドット HTTPを指定
絶対ドメイン名の考慮が抜けていたのが原因
DNSレコードを設定するときのアレ
これで1000ドル獲得
"フォクすけ" (C) 2006 Mozilla Japan
ドット1つで10万円
ねっ、簡単でしょ?
Related Documents
