#uruu_sushi

azu @azu_re

#uruu_sushi 向けのテーマっぽい did2memo.net/2016/02/28/nav…

Jxck @Jxck_

#uruu_sushi

kyo_ago @kyo_ago

向かってる。数分遅れそう #uruu_sushi

kyo_ago @kyo_ago

勘違いして早く着いた #uruu_sushi

azu @azu_re

#uruu_sushi 向かう。何も準備してないし遅れそう

hokaccha @hokaccha

早く着きすぎたけどagoさんいた #uruu_sushi

kyo_ago @kyo_ago

だいぶ揃ってきた #uruu_sushi

azu @azu_re

今日はバグハンティングのお話です。 #uruu_sushi

azu @azu_re

#uruu_sushi "HackerOne: Vulnerability Coordination and Bug Bounty Platform" hackerone.com

azu @azu_re

日本だとこれ #uruu_sushi "THE ZERO/ONE" the01.jp

azu @azu_re

報告者の信頼度とか、会社がどれくらい報奨金を出してるかとかをやってくれるプラットフォーム #uruu_sushi "HackerOne: Vulnerability Coordination and Bug Bounty Pl…" hackerone.com

azu @azu_re

会社に脆弱性情報を乗せると、いっぱい脆弱性があるように見える問題。 #uruu_sushi

azu @azu_re

脆弱性コミュニテイとそうでないコミュニテイ対する発表を分けたいという話 #uruu_sushi

azu @azu_re

パッケージとプラットフォーム向けで公表するかどうかのメリットの違いがある。 パッケージ版はマスコミで拡散してアップデートしてもらわないと行けない #uruu_sushi

azu @azu_re

ゲームのチートと脆弱性 #uruu_sushi

azu @azu_re

窓口を作ると大変、作らなくても大変 #uruu_sushi

azu @azu_re

HackerOneはPrivate programsというので、特定の人にだけリーチすることができる #uruu_sushi

azu @azu_re

バグハンティング同士、企業間同士の情報共有する場所がない #uruu_sushi

azu @azu_re

報奨金制度は何のため? #uruu_sushi

azu @azu_re

新しい攻撃方法をウェブサービス側を知るため #uruu_sushi

azu @azu_re

参考にしようとすると無理な企業 #uruu_sushi

azu @azu_re

バグハンティングプログラムを開始してるサービスが多い。 そのなかでバグハンターに選んでもらうにはどうするか #uruu_sushi

azu @azu_re

レスポンスがちゃんとあるところが安心 #uruu_sushi

azu @azu_re

CVSSベースで考えると自由度がそこまでだせない。ここは重要なドメインであるというような重み付けがしにくい #uruu_sushi

azu @azu_re

#uruu_sushi "共通脆弱性評価システムCVSS概説：IPA 独立行政法人 情報処理推進機構" ipa.go.jp/security/vuln/…