【バグバウンティ】初心者からの抜け方【初級者になる】

以前、とりあえず始めるために記事を作りました。 www.nicksecuritylog.com 今回はそのあたりのサポートみたいな記事になります。 海外の記事でfor beginnerはたくさんありますが、「beginner」のレベルが高い。 HTTP、NW、プログラムの基礎を学ぶって、そりゃそうだが、誰がそのプランで行動できるんだ・・・ たぶん、私は初心者から抜けた「初級者」にいると思います。 初級者目線で書かれたfor beginner記事は見かけたことが無いので、作ってみます。 ※筆者の経験を元にした記事です。この記事が誰にとっても正解であるとは限りません。 初心者・初級者の定義 筆者の…

【転職】生きていれば無駄なことはなかったとわかったこと【セキュリティエンジニアへの道】

伝えたいこと 背景 事例紹介 テクニカルサポート時代 プログラマー時代 SES時代 まとめ 伝えたいこと 絶望しても、心が折れても、生きていれば無駄なことはない。 背景 私は今年24歳になります。 普通なら2年目の年ですが、高卒なので6年目です。 今に至るまで、割と苦労をしました。 それは、仕事が多いとか、人間関係がうんたらとかではなく、「知識がつかない」ということでの葛藤でした。 1週間7日のうち、働くのは5日。 1日働くのは8時間だが、通勤、準備、休憩も含めれば12時間ほど。 生活の大半は会社で働いていることになります。 会社でやっていたことは、ほとんどが技術力が低くてもできることでした。…

【無知の知】何がわからないかわかる方法【資格・プログラミング・バグバウンティ】

わりと様々なところでこのような意見を聞きます。 「何がわからないかわからない」 私にもこのような悩みを抱えたことがあり、今は解消できたので参考になればとがてら記事にします。 結論 ～とりあえず実践～ 前提 ～1つのステップを越えている～ 体験談 資格勉強 プログラミング バグバウンティ 最後に 結論 ～とりあえず実践～ 「気になっていることをとりあえず実践する」 この悩みが出るときはだいたい、実践していないです。 最近調べたのですが、「ダニング＝クルーガー効果」というのが近いと思います。 この効果はざっくりいうと「能力が低い時は自信が高い」というものです。 ja.wikipedia.org 厳…

【体験談】未経験からセキュリティエンジニアへのなりかた【脆弱性診断士】

私が過去求めたシリーズ。 SESのころ、一日に何回「セキュリティエンジニア なりかた」、「セキュリティエンジニア 未経験」で検索しかたわかりません。 前にセキュリティエンジニア（脆弱性診断士）になった経緯を記事にしました。 www.nicksecuritylog.com 今回は実際に役に立ったと思ったことをまとめます。 どこかの誰かの役にたてば幸いです。 ※Webの脆弱性診断士を前提として書きます 結論 ～やりたいことをやる～ 理由～熱中できる人はレア～ 簡潔に手順 終わりに～セキュリティエンジニアになろうと思ったときには、既にセキュリティエンジニアになっていた～ 結論 ～やりたいことをやる～…

【BugBounty】 2019年6月16日 活動日記

※hackerone経由で公式にwebの調査をしています。 やろうとしたこと やったこと 次やりたいこと 得たこと、成長したこと 気になったもの やろうとしたこと 実践 やったこと 実践(事前調査) 1.実践(事前調査) js解析からGoogle Hackingをやってみました。 js解析はLinkFinder、Google Hackingはオープンリダイレクト調査ですね。 js解析はいまいちやってることがあってるかわからないです。 一応、DOMXSSの原因となりそうな箇所は見つかったので、間違っていないとは思いますが。 (対策はされてました) 次はWebの役割を把握しようと思います。 アカウ…

【BugBounty】 2019年6月10日 活動日記【Honeypot】

※hackerone経由で公式にwebの調査をしています。 バグバウンティ やろうとしたこと やったこと 次やりたいこと 気になったもの ハニーポット トップ画面 直近1ヶ月折れ線グラフ GETリクエスト POSTリクエスト pypmyadminユーザー pypmyadminパスワード wordpressユーザー wordpressパスワード tomcatユーザー tomcatパスワード 直近24時間新着アクセス まとめ バグバウンティ やろうとしたこと 実践 やったこと ブログ記事作成 1.ブログ記事作成 ふと思い立って、バグバウンティを楽しむことを忘れないために作成しました。 ジャンルは自…

【Honeypot】2019年6月9日 ～6月15日 BW-pot観察結果【ハニーポット】

総評 トップ画面 直近1ヶ月折れ線グラフ GETリクエスト(top 100) POSTリクエスト pypmyadminユーザー pypmyadminパスワード wordpressユーザー wordpressパスワード tomcatユーザー tomcatパスワード 総評 wordpressの週だったと言えるでしょう。 スキャナーがあるのは知っているので、新しいIPアドレスにしこたまやってるんじゃないですかね。 その後の攻撃アクセスもなかったので、自動化されているのかな？ 特筆すべきことは特にありませんでした。 ドメインも登録したので、育ってくれると嬉しいです。 トップ画面 直近1ヶ月折れ線グラフ…

【BugBounty】 2019年6月15日 活動日記

※hackerone経由で公式にwebの調査をしています。 やろうとしたこと やったこと 次やりたいこと 得たこと、成長したこと 気になったもの やろうとしたこと 実践 やったこと 実践(事前調査) 1.実践(事前調査) 実際に作ったリストをもとにやってみました。 ちょっと変わりました。 No 大項目 中項目 小項目 調査結果 1 事前調査 規約 2 サブドメイン sublist3r(linux) 3 ポートスキャン dnsdumpster 4 shodan 5 censys 6 zoomeye 7 Maltego 8 ディレクトリスキャン dirsearch 9 サイトマッピング visua…

【BugBounty】 2019年6月13日 活動日記

※hackerone経由で公式にwebの調査をしています。 やろうとしたこと やったこと 次やりたいこと 得たこと、成長したこと 気になったもの やろうとしたこと バグバウンティ実施リスト作成 やったこと バグバウンティ実施リスト作成 1.バグバウンティ実施リスト作成 腰を据えて、1つのサイトに対して取り組むことにしました。 後悔も反省もこのサイトへ取り組んでからです。 とりあえず、6月はこのサイトのみとします。 チェックリストを作り上げたいと思いました。 雛形は作ったので、これに足したり消したりしていこうと思います。 構成はこんな感じです。 No 大項目 中項目 小項目 調査結果 1 事前調…

バグバウンティの始め方の始め方

大前提 バグバウンティとは 楽しさ バグをみつける対象を探す 最低限必要なツールをインストールする コミュニティに入っておく 必要なスキル 注意点 終わりに 大前提 「バグバウンティプログラムの対象」となっているサイトのみを調査の調査としてください。 許可されていないサイトで調査をすると犯罪になります。 https://blog.bugbounty.jp/302.htmlblog.bugbounty.jp バグバウンティとは 脆弱性を発見して報酬をもらえるシステムです。 対象はWeb、モバイル、ソースコード、IoTといろいろあります。 楽しさ 探求し、誰も見つけていないものを見つけるという冒険…