welcome to the black hole of bug bounty program

Welcome to the Black Hole of

Bug Bounty Program

HTML5 Night June 14th, 2014

西村 宗晃 a.k.a. nishimunea

html5j Webプラットフォーム部 部員 HTML5 Experts.jp コントリビューター セキュリティキャンプ全国大会 2014 講師 FxOS コードリーディング 部員

Mozilla Security Bug Bounty Program

(Mozilla セキュリティバグ報奨金制度)

https://www.mozilla.org/security/bug-bounty.html

• 重大なセキュリティバグを発見した人にMozillaが報奨金を支払う制度

• バグ1件につき3000ドル(約30万円)

国内の報奨金取得者も

MFSA 2014-09

MFSA 2010-42

でもどこを狙えば…

これはやるしかない！

1千万行を超えるFirefoxのコードからバグを探すのは 砂漠の中からダイアモンドを見つけ出すようなもの

過去にバグの見つかったところを狙う • 修正が不十分で、まだバグが残っているかも • 担当者のセキュリティの知識が浅く、類似のバグがあるかも

お分かりですよね？

バグの見つかったところと言えば

Web Workers

MFSA 2014-09

MFSA 2010-42

本当にあった！

しかし既知のバグだとの指摘が

This is a dupe of 9497XX.

既知のバグを見つけた場合 Mozillaは同件と思われるBugzillaの アクセス権を付与してくれる

き… Kinugawaさん…（;´Д⊂）

• Firefoxのバグ探しは競争率が高く、 既に探し出されている場合もある

• ニッチケースまで安全に実装されており そもそもバグを見つけることが難しい

そこで、競争率が低そうな Firefox OS固有の機能を狙う

なんと１週間で５件見つかる

ぶっ、ブルーオーシャン！

そう、Firefox OSならね。

Lesson Learned

Bug Bounty Programは中毒性が高い

• 一日中バグのことを考えるようになる

• 新しい機能を知ると無性に攻撃したくなる

しかし得られるものも多い

• 攻撃者の視点で物事を考える力が付く

• 安全な実装方法を意識する習慣が身に付く

Let’s Bug Hunt!

まだ報奨金は獲得してないんですけどね…

ここに小切手の画像をドロップ