YusukeNakajimeのブログ (original) (raw)

バグバウンティを始めて、はや3カ月が経ちました。私の所属している会社ではプライベートのバグバウンティプログラムを開催しており、主にそのプログラムでバグを探索をしています。バグの詳細は公開できませんが、2024年4月 ～ 2024年7月の3カ月間で以下の通り、11件の脆弱性が認定されました。

手を動かしてバグ探索することで、オフェンシブなセキュリティの知識が身につき、かつ、報奨金がもらえることもあり、社内でバグバウンティプログラムへの参加を勧めています。ですが、興味を持ってくれる方は多いものの、実際に参加するのはハードルが高いようで、なかなか参加まで至らないというのが現状です。また、周囲の方からは、「何から始めればよいかわからない」という声を多数聞きました。そこで、私がこの3カ月で読んだ記事・書籍のうち有益と思ったものについて、共有させていただきます。まずはここで紹介する記事から読んでみることをお勧めします。この記事がバウンティプログラムへの参加ハードルを低くすることに貢献すれば幸いです。

私の基本的な考え方は、ウェブアプリケーション診断の代表的なツールであるBurpSuiteの開発元PortSwiggerのAcademyで一通り勉強して、あとは様々な事例を参考にしてバグ探索していく、というものです。ですので、紹介する記事もPortSwiggerのものが多く含まれています。まずは、PortSwiggerのAcademy（Labも含む）から始めるのは個人的にすごくお勧めです。

自分がこれまで読んできた記事や書籍の中で、有益と思ったものを列挙してみました。この記事が、バグバウンティへの参加ハードルを低くすることに貢献できれば、とても嬉しく思います。