個人的に使っているバグバウンティの情報収集手段

Hacker101 community Hacktivity Bugcrowd community Bugcrowd University Reddit Medium Twitter Bugbounty World Bugbounty Forum portswigger Google Hacker101 community www.hacker101.com discordapp.com hackeroneが提供する勉強用サービス。 動画で勉強し、CTFで実践できる。 discordでコミュニティも用意されている。 内容はCTFのことだけではなく、全般的なものとなる。 最近参加し、ボリュームが…

バグバウンティの基礎みたいなところ

ほとんど0からの人は何すればいいですか？って聞かれた気がしたので、まとめてみます。 脆弱性とかを知る前に、基礎のところを知らんとわけわからんと思うので、そのあたりです。 細かく各単語や機能を説明するわけではなく、簡単に紹介して詳細は他記事や本を参照する形です。 流れを把握したり、参考として使ってもらえればと思います。 Webを知る クライアントを知る サーバを知る HTTPを知る URL リクエスト、レスポンス パラメータ セッション、Cookie サイトに使われている技術を知る HTML JavaScript CSS PHP Java Ruby etc... Next Step ＜補足＞マイ…

バグバウンティの学び方 beta

バグバウンティをやり始めて1年。 脆弱性診断士を始めて半年。 勉強のやり方や情報収集などを試行錯誤してきました。 今私が考えている学び方を残しておこうと思います。 今後変わる可能性は大いにあるのでbeta版としておきます。 1年前の自分に向けて。 セキュリティの基本、モラルを学ぶ 教えてもらえる環境を探す 実際に学ぶ 知識をつける 随時アウトプットする 検証環境で確かめる （脆弱性診断士でない場合）検証環境を診断してみる （脆弱性診断士でない場合）実際の環境を可能な範囲で診断してみる 試行錯誤する 情報収集をする 気に入った脆弱性を選び、集中して学ぶ 終わりに 参考 セキュリティの基本、モラル…

アウトプットしやすい環境を作りたい

もっと、もっとたくさんの情報がほしい。 色んな人と切磋琢磨をしたい。 だが、アウトプットしている人はだいたい強い人ばかり。 初心者クラスの人もいなくはないが、比率を考えると初心者クラスの方が圧倒的に多くてもおかしくないのでは？ アウトプットは自分自身に大きな影響がある。 誰も見ていなくても、自分自身に役に立つ。 それを気軽にできる環境を作りたい。 CSLを、そんな環境にしていく。 アウトプットしやすい環境について どう変わるか 内容について アウトプットするのが怖い場合 アウトプットの効力 終わりに アウトプットしやすい環境について 私が作ったCSLは、2週間程前からアウトプットを主体とした方…