【凄腕のバグハンターそろいました】脆弱性、見つける人と見つけられる人のパネルディスカッションまとめ（＠ITセキュリティセミナー・ダークサイドへようこそ）

sakura @818uuu

来ました #セキュリティセミナー2016

STA@本気まで2週間 @stahack

#セキュリティセミナー2016 なう

Masafumi Negishi @MasafumiNegishi

今日はこちらの @atmark_it さんのセミナーにお邪魔します。ハッシュタグは #セキュリティセミナー2016 だそうですよ。よろしくお願いします！ itmedia.smartseminar.jp/public/applica…

awamori @awamori_tt

次はバグハンターのパネルディスカッション！ #セキュリティセミナー2016

もぺろん @moperon

凄腕バグハンターがそろってる。

らまっこ @llamakko_cafe

凄腕のバグハンター、そろいました 脆弱性、見つける人と見つけられる人の間 というセッションを聴講してる

TACHIBANA @ttach1

バグハンターになりたい人結構いるんだなw #セキュリティセミナー2016

TACHIBANA @ttach1

にしむねあさん、昨日会社やめたので所属だせないw #セキュリティセミナー2016

TACHIBANA @ttach1

賞金が少なくて揉める。インド人とか:) 報告する側が横柄な態度だとお互いによくない #セキュリティセミナー2016

TACHIBANA @ttach1

報告者と開発者の間を取り持つようにしないとならない。腕の見せ所 #セキュリティセミナー2016

TACHIBANA @ttach1

徳丸さんの「悪用できるバグ」という定義がしっくりくる #セキュリティセミナー2016

baihebu @baihebu

脆弱性＝悪用できるバグ #セキュリティセミナー2016

TACHIBANA @ttach1

脆弱性の定義の話。仕様かバグか悪用可能性による #セキュリティセミナー2016

TACHIBANA @ttach1

脆弱性の認定ポリシーを定めていきたい #セキュリティセミナー2016

ドラマニア @S_note

にしむねあ氏の話が神過ぎる件 #セキュリティセミナー2016

TACHIBANA @ttach1

権限昇格だけでは脆弱性にならないが、それによって機能が悪用できてしまうと脆弱性になりうる。CIAを犯さないとCVSSスコアは低い #セキュリティセミナー2016

TACHIBANA @ttach1

組み合わせると凄い系の脆弱性は単体だとCVSSが低くなりがちなので注意が必要 #セキュリティセミナー2016

TACHIBANA @ttach1

SQLインジェクションを報告したら、なんかデータ抜いてから言えといわれたw 海外は違うね #セキュリティセミナー2016

TACHIBANA @ttach1

ガイドラインやポリシーを定めるのは、バグハンターと付き合うのに必要なコストではないか。サイボウズの話。最近は海外からも報告くる #セキュリティセミナー2016

TACHIBANA @ttach1

海外ではスコープ外とかルール破っても賞金貰えることがある。無法地帯2 #セキュリティセミナー2016

TACHIBANA @ttach1

内部のセキュリティ診断と報奨金制度のバグバウンティは単純にコストパフォーマンスの比較はできない #セキュリティセミナー2016

もぺろん @moperon

名前を売りたい/研究したいというモチベーションのバグハンターが日本には多いのではないか。そういう人は無料でも構わないと思っている。

TACHIBANA @ttach1

日本での5000ドルと海外でのそれは価値が違うので、発展途上国ではそれで暮らせたりする #セキュリティセミナー2016

TACHIBANA @ttach1

金目当てになると、脆弱性がブラックマーケットに売られる懸念もあり、報奨金を出す側面がある #セキュリティセミナー2016

TACHIBANA @ttach1

バグハンターに必要なもの。金目当てだけではなく知的好奇心とリフレッシュ。意外なところで繋がったりする。何事も同じだね #セキュリティセミナー2016