バグを見つけて一攫千金！？

狙え！一攫千金！  

バグハンターって？

はい、どもープログラミング教室の若さ担当の南条ですー。 突然ですが皆さん！バグハンターという職業は知っていますか？ 小さな虫を倒す職業ではございませんー。 このバグとは、ソフトウェアやWebサービスなどのバグですー。 皆さんも一回くらいは遭遇したことがあるかな・・・？ んで具体的に、この人たちは何をするかというと、 企業のサービスの脆弱性を発見して報告する、ということをやっていますー。 んで、この報告はボランティアで無償の場合もあるのですが、企業側が 自社の脆弱性を発見してもらうために脆弱性の発見に対して、報奨金をかけている場合がありますー。 その名も「バグ・バウンティ・プログラム」ですー。 企業によって呼び名はまちまちなんですけどね。 元々は海外で多かった取り組みなんですが、最近は色々な企業で実施されていますー。

どんな企業で実施されてるの？

その例をちょっとだけ・・・

• Google
• Apple
• LINE Corporation
• サイボウズ株式会社

有名企業がありますねー。 んで気になる報奨金は、以下の通りになってますー。

• Google 最大:$20,000
• Apple 最大:$500,000
• LINE Corporation 最大:$10,000
• サイボウズ株式会社 最大:300,000円

すごい金額・・・。 夢が広がるー( ✌︎’ω’)✌︎ でも、実際脆弱性って言われても「危ないってのはわかるけど、実際にどのようなものかわからない・・・」 っていう人が、大半だとお思いますー。 なので、今回から何回かにわたって、特集を組んでいこうと思いますー。 脆弱性とかに興味のある人は、一緒に勉強していきましょー。 もしこれからの記事で誤っている文言等ありましたらコメントをしていただけると助かりますー。 では、今回は導入程度に、Webの世界にはどのような脆弱性が潜んでいるかのお話をしましょー。

脆弱性って何？

脆弱性（ぜいじゃくせい）とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。 (引用元:http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html)

そうなんです。脆弱性が一つあるだけで、多大なダメージが起きることがある。 怖いよね・・・。 脆弱性を悪用した攻撃には以下のようなものがありますー。

• SQLインジェクション
• クロスサイトスクリプティング
• セッションハイジャック
• OSインジェクション

この４種類について具体的な攻撃法と対処法について、 一緒に勉強していきましょー。 では今日はこの辺でー。

あとがき

ここで一句。 バグハンター 探して、なくそう 脆弱性。 お後がよろしいようで。]]>