3/11に開催されたBurp Suite Japan LT Carnivalをまとめました。

yousukezan @yousukezan

Burp Suite Japan LT Carnival いよいよ今日ですね（スライド作ってる） connpass.com/event/117852/ #burpjapan

abend @number3to4

本日、開催するBurp Suite Japan LT Carnivalで入館コードをConnpass経由にて送付しておりますので、ご確認ください。 connpass.com/event/117852/ #burpjapan

とある診断員 @tigerszk

バグバウンティに取り組んだんだけど、なかなか報奨金をゲットできなかった話 #burpjapan

ym @ym405nm

CVEデュエルバトルが始まってしまう... #burpjapan

はるきち🐴 @halkichisec

Burp Suite Japan LT Carnival なう 今日はこちらとOWASP Nightの２色かしら...? #burpjapan

no1zy @no1zy_sec

どうも、金額ツイートばかりする人です #burpjapan

とある診断員 @tigerszk

今日お話しするのは全部GitLabの脆弱性。OSSだしローカル環境構築できるのでバグハントするならおススメ！Issue Trackerで過去の脆弱性の詳細とかも見れる。報奨金の額もイイ！ #burpjapan

とある診断員 @tigerszk

悲しみのstored xss #burpjapan

とある診断員 @tigerszk

swagはもらえたけど報奨金はもらえなかった #burpjapan

とある診断員 @tigerszk

旬な無限alertネタをいれてきましたねｗ #burpjapan

lumin @lumin

TaihoされるJavascriptを仕込んできているとは #burpjapan

とある診断員 @tigerszk

chacheコントール不備を見つけたけどまた報奨金をもらえなかった。Publicプログラムは報奨金のスコープ外だったらしい。 #burpjapan

とある診断員 @tigerszk

12月になったらPublicプログラムも報奨金の対象になったらしい。これは確かに悲しいねｗ #burpjapan

とある診断員 @tigerszk

海外の有名バグハンターにいままのやり取りが「可哀そうなバグハンターの例として」取り上げられたらしいｗこれは面白い流れｗ #burpjapan

とある診断員 @tigerszk

バグバウンティするならちゃんとポリシーを読むべきだった。 気合いが足りなかった。 報告から授与のタイムラグを考慮してなかった。 Praivate Programの存在を知るのが遅かった。 #burpjapan

とある診断員 @tigerszk

それでも私はGitlabのバグハントはおススメします！ #burpjapan

とある診断員 @tigerszk

Q＆A Gitlabで見つけた脆弱性はGitHubなどに横展開は可能？ ⇒可能だと思う。 Pravateチャンネルは言わないと招待してくれない？ ⇒招待してくれないっぽい #burpjapan

とある診断員 @tigerszk

次の登壇はno1zy_sec氏 Burp Suiteの便利な機能でバグバウンティ #burpjapan

たけまる @tkmru

No1zyさんだ!! #burpjapan

とある診断員 @tigerszk

去年は600万以上バグハントで稼ぎました #burpjapan

とある診断員 @tigerszk

Burpはバグハントする上でも超便利。 今回はPro版のみで利用できる超強力な機能を紹介。 #burpjapan

とある診断員 @tigerszk

Burp Collaborator Client 外部の待ち受けサーバとしての役割を持つ機能 #burpjapan

とある診断員 @tigerszk

便利ですよね。僕も良く使います。DNSを引かせてすぐ検出してくれるのはすごく便利ですよね。 #burpjapan

とある診断員 @tigerszk

SSRFのテストとかでもすごく使えるよ #burpjapan