BUGハンター祭り
第21回 まっちゃ445勉強会 BUGハンター祭りに行ってきた。
前にマルウェア祭に参加して以来、2回目だ。
やっぱりここの勉強会はおもしろい。
『BUGハンター』というテーマで、6人の方が発表。
開発したアプリのバグを探す話ではなくて、世の中に出ているアプリケーションのバグのほう。
IPA に報告されて、JPCERT/CC とかに登録されているもの。
発表者は皆さん、登録されるような脆弱性を発見して報告している方々だ。
公開されると、発見者の名前も一緒に公表されるので、カッコいい。
オープンソース、有名なソフトウェア、Webアプリ、Android、仕様バグの話と多岐にわたっていて、
発見の手段や報告してから公開されるまでの流れなどがよくわかって楽しかった。
仕様バグ(機能が悪用できてしまう)のタイプの脆弱性、考え方としては好きだ。
Unicodeの円記号によるパストラバーサルや、UTF-7によるXSSなどがこの例ということだ。
何をどういう手段で見つけるかは、知識と経験と勘と粘り強さが必要なので、
話を聞いてすぐにできるものではないと思うが、アセンブラを読まなくても見つけられたりするということだし、
何か見つけてみたいという気持ちにさせられた。
脆弱性の診断や発見を業務としてる方々が、どういうことをしているのか垣間見ることができた。
研究者が論文や特許の数が重要視されるように、発見した脆弱性の数が重要らしい。
技術力の証明になっているわけだ。
今は Facebook や Google などでは、そこの脆弱性を発見して報告すると報奨金をくれたりするらしいし、
発見した脆弱性の情報を買い取って自社製品に生かすことをしているセキュリティ会社もあるらしい。
そういう収入で生活してる人もいるのかなー。
バグハンターは、バグを見つけるとそれを公開したいという自己顕示欲があるが、
開発者は指摘されるとウザイと思いがちなので、お互いうまくコミュニケーションをとる方法とか、
そういう話には、どちらの立場もわかるような気がして、なるほどなーとおもしろかった。
あと印象に残ったのは、手軽にWebアプリを書けるようになって、脆弱なサイトが急増してるって話かな。
未経験者歓迎とかいう会社が多くなってるのも一因かもしれない、と。
どう教育したらいいか?って話は問題提起だけだったけど、これは私にも関係ある(仕事的に)。
仕事でバグハントをするとプレッシャーに負けそうだけど、趣味でやってみるのはいいかもね。
自分でやるなら、Webアプリか、オープンソースか、・・・かなぁ。
バテ
最近、栄養が足りてない気がする。
炭水化物と乳製品ばかりだ。
脂っこいものはお腹が痛くなるので避けてる。
それに加えて、暑さで食欲がなかったりする。
あ、でも昨日はサラダを食べたか。
今日は涼しかったので、鰻かカレーを食べようって思ってた。
のに、忘れてた。
代わりに、夕食に肉を食べた。
会社のお昼、サラダを買うようにすればいいのかな。
この休みの間に、野菜多めのカレーを作ろう。
きっとカレーなら食べられる気がする。