https://scgajge12.hatenablog.com/entry/bug_bounty_village

1. 始めに

こんにちは、morioka12 です。

本稿では、2024年8月9日から11日に開催される「DEF CON Bug Bounty Village」の概要についてまとめて紹介します。

2. Bug Bounty Village とは

www.bugbountydefcon.com

概要の翻訳 (DeepL)

DEF CON Bug Bounty Villageの主な目的は、バグ報奨金プログラムに対する理解を深め、実践的な課題や知識の共有セッションを通じて参加者のスキルを向上させることです。
バグバウンティプラットフォームと研究者の橋渡しをし、バグバウンティハンティングにおける成功戦略、法的考慮事項、倫理的慣行についての洞察を提供することを目的としています。

Super excited and proud to announce I’ll be running the official Bug Bounty Village at @DEFCON alongside @infinitelogins for the first time! Follow @BugBountyDefcon for updates and join us in shaping the future of Bug bounty. Please help us with a RT #BugBountyVillage #DEFCON pic.twitter.com/2agVmj0OJO
— Ariel Garcia (@Arl_rose) April 15, 2024

3. 内容

概要文は、全て DeepL で翻訳したものを記載しています。

(WIP: 開催後にスライド等の何かがあれば、追記で更新します。)

Talk

Practical Exploitation of DoS in Bug Bounty

Roni Carta (@0xlupin)

講演「バグ報奨金におけるDoSの実践的悪用」では、バグ報奨金プログラムにおけるサービス拒否（DoS）脆弱性の特定と悪用のテクニックを取り上げる。リソースの枯渇やロジックの欠陥など、サービスを妨害するための実践的なアプローチに重点を置き、その影響を強調し、これらの問題を効果的に報告する方法を示します。

From Easy Wins to Epic Challenges: Bounty Hunter Edition

Daniel Le Gall (@Blaklis_)

本講演では、Blaklisがバグバウンティの旅で見つけた、面白くて驚くようなクイックウィンと、大きな報奨金を得るために直面した深い技術的課題を紹介します！

Reflections on a Decade in Bug Bounties: Experiences and Major Takeaways

Nikhil Shrivastava (@niksthehacker)
Charlie Waterhouse

ニヒル・シュリバスタヴァとチャーリー・ウォーターハウスが「バグバウンティの10年を振り返って」を発表します：経験と主な教訓" 彼らの豊富な経験から洞察を得て、重要な教訓を発見し、10年間のバグ報奨金の進化を探る。

Efficient Bug Bounty Automation Techniques

Gunnar Andrews (@G0LDEN_infosec)

セキュリティ調査やバグ報奨金のための自動化技術は、深いウサギの穴に入り込むかもしれません。しかし、自動化を最大限に活用するための迅速で効果的な方法はたくさんあります。

Leveraging AI for Smarter Bug Bounties

Joel Alexis Noguera (@niemand_sec)
Diego Jurado Pallarés (@djurado9)

セキュリティ研究者として、私たちは攻撃的なセキュリティを強化するための革新的なソリューションを求めています。本講演では、バグ報奨金とペンテストのワークフローを補強するAIエージェントの作成について検討します。攻撃的セキュリティの新時代における攻撃的アシスタントとしてのAIの可能性とその意味を探ります。

I've got 99 problems but a prompt injection ain't pineapple

Chloé Messdaghi (@ChloeMessdaghi)
Kasimir Schulz (@abraxus7331)

本講演では、AIの脆弱性の開示と支払いにおける重要性に対処する上での課題を取り上げる。これらの問題の現状を探り、AIの脆弱性管理へのアプローチを改善するための潜在的な解決策について議論する。

Workshop

Caido Internals Deep-Dive

Emile Fugulin (@TheSytten)

このワークショップでは、ワークフローからプラグインまで、GraphQL APIを忘れることなく、Caidoの内部をクリエイターと共に深く掘り下げるユニークな内容となっています。

A Zero to Hero Crash Course to Server-Side Request Forgery (SSRF)

Ben Sadeghipour (@nahamsec)

このワークショップは、サーバーサイドリクエストフォージェリのクラッシュコースで、基本的なSSRF悪用の理解を提供するだけでなく、複雑で困難なSSRF脆弱性を悪用するための高度なテクニックを紹介します。このワークショップでは、実際の事例に基づいた実習を行います。

Why you should be hunting on Web3 Bug Bounties

Gonçalo Magalhães (@realgmhacker)

プレゼンテーションでは、ブロックチェーンの透明性がもたらすバグ報奨金の違いを紹介する。そして、Web3で何が問題になっているのか、つまり非常に大きな金額について説明します。ブロックチェーンで起こった悪名高いハッキングについて、技術的なエクスプロイトの側面と交渉の側面の両方について説明し、最も象徴的な+100万ドルの賞金とそのPoCを再現します。

Prototype pollution in depth, from beginner to 0-day hunter

Lucas Philippe (@BitK_)

このワークショップでは、JavaScriptにおけるプロトタイプとは何かについて掘り下げ、プロトタイプの汚染について探ります。これらの脆弱性を検出する方法と、脆弱性を悪用するテクニックを取り上げます。このセッションは、実際のセキュリティ問題を実践的に体験したい方に最適です。

Forming a Bug Bounty Hunting Party

Harrison Richardson (@rs0n_live)

他の研究者との共同研究に興味があるけれど、何から始めたらいいかわからないというバグ賞金稼ぎはいませんか？それなら、このワークショップはいかがでしょう！参加者は、効果的なグループを形成し、共に成長・学習し、バグ・バウンティで自分なりの成功をつかむための実証済みの戦略を指導されます。

Leveraging Internal Systems for Enhanced Bug Bounty Success

Rotem Bar (@rotembar)

インサイダーアクセスでハッキングの可能性を解き放とう！内部システムのインサイトを共有することで、バグハンティングにどのような革命を起こせるかを発見してください。このセッションでは、新しい独占的な方法、データを有利に活用する方法を学び、実際の成功事例を共有します。バグ報奨金プログラムを向上させ、内部から攻撃を見る方法を学ぶためにご参加ください。

The Bug Hunters Methodology Live - DEF CON Edition

Jason Haddix (@jhaddix)

ジェイソンが最新のウェブテストとリコンテクニックを解説します。

A Bug Hunter's Guide to Account Takeover

Ben Sadeghipour (@nahamsec)

このワークショップでは、ペンテストを実施したり、脆弱性を探している間に、アカウントを乗っ取ったり、アクセスを昇格させたりする最も一般的な方法を理解することに焦点を当てます。

High ROI Manual Bug Hunting Techniques

Justin Gardner (@Rhynorater)

バグバウンティハンターの望みはひとつ、賞金です。このワークショップは、世の中にあるすべてのバグ報奨金リソースのTLDRを凝縮し、1つの目標にレーザー照射したものです。

Unveiling Vulnerabilities: A Comprehensive Guide to Bug Bounty Recon

Brendan O'Leary (@olearycrew)

バグバウンティのスキルを高めましょう！ subfinderやhttpxのようなツールを使ってターゲットを特定し、充実させ、優先順位をつけることを学びます。高度な偵察技術を使って、隠されたファイル、機能、脆弱性を発見します。サイバーセキュリティにおける「未知の未知」を発見する技術をマスターしましょう。ぜひご参加ください！

Lost in Translation: WAF Bypasses By Abusing Data Manipulation Processes

Ryan Barnett (@ryancbarnett)
Isabella Barnett (@4ng3lhacker)

今日のダイナミックなウェブ・アプリケーションのエコシステムでは、アプリケーションやバックエンド・システムのストレージで使用するために、データをサニタイズ、翻訳、操作する数多くのデータ操作プロセスが存在します。これらの同じプロセスは、中間セキュリティシステムから攻撃ペイロードを難読化するために、バグハンターによって活用されることもあります。

Panel Discussion

Panel of Bug Bounty Community Leaders

Inti De Ceukelaire
Jessica Sexton
Ryan Rutan, Lucas (BitK)
Roni Carta (0xLupin)

バグ・バウンティ・ヴィレッジでは、世界有数のバグ・バウンティ・プラットフォームであるHackerOne、Synack、YesWeHack、Intigritiの4社のコミュニティ・リーダーが一堂に会し、バグ・バウンティ・プログラムの将来について、それぞれの専門知識とビジョンを共有します。コミュニティの著名なハッカーがモデレーターを務めるこのパネルでは、バグ報奨金分野における最新のトレンド、課題、イノベーションについて探求します。

Hunters and Gatherers: The Realities of Bug Bounty Life

Logan MacLaren (@maclarel_)
Jeffrey Guerra (@s2jeff_gh)
Johnathan Kuskos
Katie Noble
Sam Erb (@erbbysam)

経験豊富なバグバウンティプログラムマネージャーとハンターによるパネルディスカッションにご参加ください。新たな技術や脅威の中で、バグ報奨金の重要な疑問、課題、戦略、将来について議論します。バグ報奨金の重要性、成功の要素に焦点を当て、プログラムを成熟させるための提言を行います。学習とネットワーキングの絶好の機会です。

Meet the PortSwigger Research team

James Kettle (@albinowax)
Gareth Heyes (@garethheyes)
Martin Doyhenard (@tincho_508)

10年にわたる高い評価を得ているウェブセキュリティ研究の背後にある頭脳を紹介します。技術的なことやキャリアに関する私たちの考えを尋ねたり、あなたが見つけたクールなものを共有したり、Burp Suiteの機能要望を私たちに殺到させたり、あるいは単に挨拶したりしたい方は、この機会をお見逃しなく！また、DEF CONで3つのプレゼンテーションを行います。このセッションはカオスになるかもしれませんのでご注意ください。

4. 終わりに

本稿では、本稿では、2024年8月8日から11日に開催される「DEF CON Bug Bounty Village」の概要についてまとめて紹介しました。

ここまでお読みいただきありがとうございました。

Bug Bounty Village 概要まとめ (2024)