Diary , Archive » BUGハンター祭り(情報元のブックマーク数)
素晴らしいまとめ。メモメモφ(..)メモメモ
『BUGハンター』というテーマで、6人の方が発表。
Diary , Archive » BUGハンター祭り
開発したアプリのバグを探す話ではなくて、世の中に出ているアプリケーションのバグのほう。
IPA に報告されて、JPCERT/CC とかに登録されているもの。
発表者は皆さん、登録されるような脆弱性を発見して報告している方々だ。
公開されると、発見者の名前も一緒に公表されるので、カッコいい。
オープンソース、有名なソフトウェア、Webアプリ、Android、仕様バグの話と多岐にわたっていて、
発見の手段や報告してから公開されるまでの流れなどがよくわかって楽しかった。
仕様バグ(機能が悪用できてしまう)のタイプの脆弱性、考え方としては好きだ。
Unicodeの円記号によるパストラバーサルや、UTF-7によるXSSなどがこの例ということだ。
何をどういう手段で見つけるかは、知識と経験と勘と粘り強さが必要なので、
話を聞いてすぐにできるものではないと思うが、アセンブラを読まなくても見つけられたりするということだし、
何か見つけてみたいという気持ちにさせられた。
脆弱性の診断や発見を業務としてる方々が、どういうことをしているのか垣間見ることができた。
研究者が論文や特許の数が重要視されるように、発見した脆弱性の数が重要らしい。
技術力の証明になっているわけだ。
今は Facebook や Google などでは、そこの脆弱性を発見して報告すると報奨金をくれたりするらしいし、
発見した脆弱性の情報を買い取って自社製品に生かすことをしているセキュリティ会社もあるらしい。
そういう収入で生活してる人もいるのかなー。
バグハンターは、バグを見つけるとそれを公開したいという自己顕示欲があるが、
開発者は指摘されるとウザイと思いがちなので、お互いうまくコミュニケーションをとる方法とか、
そういう話には、どちらの立場もわかるような気がして、なるほどなーとおもしろかった。
