KazkitiCTFの取り組みは凄い!と、以前からTwitter見てて思ってました。 #sosailt #sec_kansai
2020-12-09 20:57:47kazkitiさんのおすすめ まず実績の難易度の見える化 CVE・JVN取得 #sosailt #seckansai
2020-12-09 21:00:53バグバウンティは難易度もスピード感も高い。競争なのとお金かかってるから。CVE・JVNの難易度が低いものなら簡単に取れる #sosailt #seckansai
2020-12-09 21:01:35基調講演その2は同じくパナソニックの前田さん。CVE,JVN番号の取得経験談。今日は自己紹介でちらっと出てきただけだったけど、kazkitictfの話も聞きたいなー。 #sosailt #seckansai
2020-12-09 21:03:08ハッキング・バグバウンティは速度が重要。SECCONの決勝は求められる技術レベルが高い。CVE/JVN取得は速度は求められず、難易度はピンきり。おすすめは難易度低めのCVE/JVN取得、とのこと。 #sosailt #seckansai
2020-12-09 21:03:32IPAの脆弱性関連情報の届け出受付から申告すると、開発者が国外でもIPA、JPCERTが翻訳などで間に入ってくれる(日本語でおk) #sosailt #seckansai
2020-12-09 21:04:30対象の絞り方 報告しても修正されない場合がある! 報告後の修正が遅い場合もある ⇒場合によっては数年後に対応・・ #sosailt #seckansai
2020-12-09 21:05:51報告しても開発側で修正されないとJVN、CVE発行されないのか〜、その辺がexploitDBとの数の差なんかな? #sosailt
2020-12-09 21:08:03有名な商品は避けましょう! バグバウンティに公開されている商品はさける ⇒難易度が格段に上がる #sosailt #seckansai
2020-12-09 21:08:07ソースコードが確認できるOSSが理想! ソースコードから静的解析ができる 環境構築すれば脆弱性診断もできる #sosailt #seckansai
2020-12-09 21:09:09コロナの影響で旅行取りやめ、16連休 ⇒やることない!とtweet ⇒バグハンター仲間から「やってみたら?」とおすすめされる ⇒CVE・JVN番号取得!! #sosailt #seckansai
2020-12-09 21:17:41