IssueHunt が主催する P3NFEST Conf 2024 と P3NFEST Bug Bounty 2024 に参加しました。
IssueHunt は国産のバグバウンティ&VDPプラットフォームを運営しており、P3NFEST Conf 2024 は学生に向けてバグバウンティを推進する目的で開催されました。沢山の講演やハンズオンがあり、とても学びのあるイベントでした。
カンファレンスと同時に、学生限定のバグバウンティイベントである P3NFEST Bug Bounty 2024 も開催されました。詳細については後述しますが、初めて報奨金を獲得することができました!
P3NFEST Conf 2024
P3NFEST Conf 2024 は学生限定のカンファレンスとなっており、オンライン (Zoom) と現地(freee株式会社)のハイブリッド開催でした。
私は現地参加しましたが、全国各地から集まった学生や、スピーカー、ハンズオン講師の方と直接会話する機会があったので良かったです。
イベントはオンラインと現地から参加できる「講演」と、現地のみ参加可能な「ハンズオン&交流会」がありました。
現地会場の freee 株式会社オフィス。カラフルなクッションがオシャレ。
講演
講演では、バグバウンティの魅力を語ったり、XSS のフィルターバイパス手法のクイズがあったり、セキュリティエンジニアとしてのキャリアの変化について話したり、社会人と学生が各々の視点でバグバウンティの未来について議論したり、様々な話題がありました。
講演の様子。
面白かった話としては、これまでは開発者からセキュリティエンジニアに転向するキャリアが一般的でしたが、現在は新卒からセキュリティエンジニアとして働くキャリアがあり、セキュリティ業界のキャリア形成も変化しているようです。
私自身も開発経験が無い状態で新卒からセキュリティエンジニアになったので、新しいキャリアを歩んでいる一人なのだと実感しました。
ハンズオン&交流会
ハンズオンは4種類の中から希望するものを選択し、参加者上限を超えた場合は抽選となっていました。
私は「Bad Todoを活用した、バグバウンティ入門」に参加しました。
脆弱性とは何かという説明から入り、脆弱性の見つけ方や、脆弱性を見つけてからの報告の仕方をハンズオン形式で学びました。
IssueHunt のバグバウンティプラットフォームにハンズオン用の報告ページが用意されており、脆弱性発見から報告までの流れを実際のバグバウンティと同じ手順で練習することができました。
issuehunt.io で Bad Todo の脆弱性を報告。
P3NFEST Bug Bounty 2024
P3NFEST Bug Bounty 2024 は学生限定のバグバウンティイベントとなっており、様々な企業がバグバウンティプログラムを提供していました。
バグバウンティなので報奨金も存在し、期間内に報告が認められれば企業から報奨金が支払われます。
また、脆弱性が見つからなかった場合でも、調査した内容をまとめたレポートを提出することで報奨金が支払われるプログラムもありました。
初バグバウンティ
私は株式会社ニーリーが提供している「Park Direct(パークダイレクト)」に対して脆弱性の報告を行いました。
アルバイトで9ヶ月ほど Web の脆弱性診断を行っていたので、脆弱性の発見自体は難しくありませんでした。
また、脆弱性の報告の仕方を P3NFEST Conf 2024 のハンズオンで学んだので、報告もスムーズに行うことができました。
脆弱性の報告と報奨金の付与。
優秀賞
バグバウンティプログラムが終了し、しばらくした頃に優秀賞に選出された旨を知らせるメールが届きました。
素敵なステッカーとタンブラーを頂いたので、大切に使いたいと思います。
次回も参加したいのだが、社会人になってしまった…