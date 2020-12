ソフトウェアの脆弱性(ぜいじゃくせい)報告に対して報奨金を支払う「バグ報奨金プログラム」は、1億円を報奨金だけで稼ぐ「 バグハンター 」が存在するように、時には一獲千金を狙えるプラットフォームです。しかし、普通の人がソフトウェアの脆弱性を見つけるのは困難に思えるのも事実。セキュリティ研究者の Alaa Abdulridha 氏がブログで公開している「Facebookに存在していたパスワードを変更できる脆弱性レポート」は、そんなバグ報奨金を少し身近に感じられる内容です。 How I hacked Facebook: Part One – Alaa Abdulridha https://alaa.blog/2020/12/how-i-hacked-facebook-part-one/ Abdulridha氏は新型コロナウイルス感染拡大で生まれた時間を利用して、ウェブアプリケーションに侵入して脆弱性を見つけ出す ペネトレーションテスト の認定試験「 OSWE 」の資格を取得したとのこと。Facebookのサブドメイン「legal.tapprd.thefacebook.com」内の「HTMLをPDFに変換する機能」の脆弱性を見つけ出し、Facebookから1000ドル(約10万4000円)の報奨金を受け取ったという 記事 がきっかけとなり、「legal.tapprd.thefacebook.com」へのペネトレーションテストを実行することに決めたそうです。 まずAbdulridha氏はソフトウェアの不具合を見つけ出す ファジング ツールを利用して、ウェブサイト内にどんなページが存在するのかを探索。ツールによる探索の結果、アクセス禁止を表す「403エラー」を返すページが43ページ存在することがわかりました。

・関連記事

Facebookのバグ報奨金プログラムが10周年、現在地点とこれからをセキュリティ責任者が語る - GIGAZINE



1億円を報奨金で稼いだ「バグハンター」が登場、4年のキャリアで報告した欠陥の数は1600以上 - GIGAZINE



PS4の重大な脆弱性に540万円以上の報奨金を支払うバグ報奨金プログラムをソニーが発表 - GIGAZINE



Appleをスゴ腕の「バグハンター」たちが3カ月間ハックすると賞金はいくら稼げるのか? - GIGAZINE



Appleの脆弱性報奨金プログラムへ送られた脆弱性が半年間も未修正であると判明、発見者は「失望した」としてゼロデイ脆弱性を公開 - GIGAZINE

2020年12月15日 13時30分00秒 in ネットサービス, ウェブアプリ, セキュリティ, Posted by log1n_yi

You can read the machine translated English article here.