容量 電圧 製品一覧
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
ソフトウェアの脆弱性(ぜいじゃくせい)報告に対して報奨金を支払う「バグ報奨金プログラム」は、1億円を報奨金だけで稼ぐ「バグハンター」が存在するように、時には一獲千金を狙えるプラットフォームです。しかし、普通の人がソフトウェアの脆弱性を見つけるのは困難に思えるのも事実。セキュリティ研究者のAlaa Abdulridha氏がブログで公開している「Facebookに存在していたパスワードを変更できる脆弱性レポート」は、そんなバグ報奨金を少し身近に感じられる内容です。
Abdulridha氏は新型コロナウイルス感染拡大で生まれた時間を利用して、ウェブアプリケーションに侵入して脆弱性を見つけ出すペネトレーションテストの認定試験「OSWE」の資格を取得したとのこと。Facebookのサブドメイン「legal.tapprd.thefacebook.com」内の「HTMLをPDFに変換する機能」の脆弱性を見つけ出し、Facebookから1000ドル(約10万4000円)の報奨金を受け取ったという記事がきっかけとなり、「legal.tapprd.thefacebook.com」へのペネトレーションテストを実行することに決めたそうです。
まずAbdulridha氏はソフトウェアの不具合を見つけ出すファジングツールを利用して、ウェブサイト内にどんなページが存在するのかを探索。ツールによる探索の結果、アクセス禁止を表す「403エラー」を返すページが43ページ存在することがわかりました。
