1. 始めに
こんにちは、morioka12 です。
本稿では、2024年のバグバウンティプラットフォームで報告された脆弱性報告の Top 10 と、HackerOne で最も人気投票が多かった Top 10 について紹介します。
- 1. 始めに
- 2. Bug Bounty Top 10 Vulnerability Types
- 3. HackerOne Most Popular Votes Top 10
- 10位:Reflected XSS on Pangle Endpoint
- 9位:Remote vulnerabilities in spp
- 8位:SAML Signature verification bypass allows logging into any user (with specific conditions)
- 7位:Change phone number OTP flaw leads to any phone number takeover
- 6位:Insecure Direct Object Reference (IDOR) Allows Viewing Private Report Details via /bugs.json Endpoint
- 5位:HackerOne SAML signup domain enforcement bypass results in unauthorized access to HackerOne PullRequest organization
- 4位:Infromation Disclosure To Use of Hard-coded Cryptographic Key
- 3位:View Titles of Private Reports with pending email invitation
- 2位:Stored-XSS-ads.tiktok.com
- 1位:Attachment disclosure via summary report
- ランキング表
- 4. その他
- 5. 終わりに (まとめ)
免責事項
本稿の内容は、セキュリティに関する知見を広く共有する目的で執筆されており、悪用行為を推奨するものではありません。
想定読者
- バグバウンティ(脆弱性報酬金制度)に興味ある方
- 脆弱性診断やペネトレーションテストなどに携わる方
- Web アプリやモバイルアプリの開発、保守運用などに携わる方
OWASP Projects
OWASP (Open Worldwide Application Security Project)は、各分野のセキュリティに関するドキュメントを公開しています。
OWASP Top 10
https://owasp.org/www-project-top-ten/
OWASP Top 10 API Security Risks
https://owasp.org/API-Security/editions/2023/en/0x11-t10/
OWASP Mobile Top 10
https://owasp.org/www-project-mobile-top-10/
OWASP Top 10 for LLM Applications
https://owasp.org/www-project-top-10-for-large-language-model-applications/
2. Bug Bounty Top 10 Vulnerability Types
ここでは、2024年のバグバウンティプラットフォームにおける脆弱性 Top 10 について紹介します。
HackerOne
- Cross-Site Scripting (XSS)
- Information Disclosure
- Improper Access Control
- Misconfiguration
- Insecure Direct Object Reference (IDOR)
- Improper Authentication
- Privilege Escalation
- Open Redirect
- Business Logic Errors
- SQL Injection
2024年に HackerOne で報告された脆弱性レポートにおいて、約20%が XSS であっという統計データがありました。
https://www.hackerone.com/resources/reporting/8th-hacker-powered-security-reportwww.hackerone.com
Bugcrowd
- Reflected Cross Site Scripting (XSS)
- Disclosure of Secrets
- Insecure Direct Object Reference (IDOR)
- Lack of Security Headers
- Failure to Invalidate Session
- Stored XSS
- Content Spoofing
- Open Redirect
- Directory Listing Enabled
- Misconfigured DNS
Intigriti
統計データなし
YesWeHack
- Cross-Site Scripting (XSS)
- Improper Access Control
- Information Disclosure
- Insecure Direct Object Reference (IDOR)
- Business Logic Errors
3. HackerOne Most Popular Votes Top 10
ここでは、2024年に HackerOne で開示された脆弱性報告の中で最も人気投票が多かった Top 10 について紹介します。
- 対象:2024年1月1日から2024年12月31日に HackerOne で公開された脆弱性レポート
10位:Reflected XSS on Pangle Endpoint
- Vote: 170
- Severity: High
- Weakness: Cross-site Scripting (XSS) - Reflected
- Bounty: $5,000
この報告は、TikTok のエンドポイントで RXSS が可能という脆弱性でした。
9位:Remote vulnerabilities in spp
- Vote: 174
- Severity: High
- Weakness: Classic Buffer Overflow
- Bounty: $12,500
この報告は、PS4/PS5 のカーネルコンテキストで DoS や RCE を引き起こす可能性があるという脆弱性でした。
8位:SAML Signature verification bypass allows logging into any user (with specific conditions)
- Vote: 182
- Severity: Critical
- Weakness: Improper Access Control - Generic
- Bounty: $25,000
この報告は、GitHub の SAML 署名検証を回避することで、特定の条件付きで任意のユーザーにログイン可能という脆弱性でした。
7位:Change phone number OTP flaw leads to any phone number takeover
- Vote: 187
- Severity: Critical
- Weakness: Business Logic Errors
- Bounty: $2,000
この報告は、inDrive のアプリで他のユーザーに電話番号を追加することが可能で、OPT を回避できるという脆弱性でした。
6位:Insecure Direct Object Reference (IDOR) Allows Viewing Private Report Details via /bugs.json Endpoint
- Vote: 209
- Severity: Critical
- Weakness: Insecure Direct Object Reference (IDOR)
- Bounty: Hidden
この報告は、HackerOne の JSON ファイルのエンドポイントにおいて、プライベートレポートに不正アクセスが可能という脆弱性でした。
5位:HackerOne SAML signup domain enforcement bypass results in unauthorized access to HackerOne PullRequest organization
- Vote: 212
- Severity: High
- Weakness: Improper Null Termination
- Bounty: Hidden
この報告は、HackerOne の SAML による新規サインアップ機能で、末尾の制御文字を使用することで Pull Request の組織に不正アクセス可能な脆弱性でした。
4位:Infromation Disclosure To Use of Hard-coded Cryptographic Key
- Vote: 277
- Severity: Medium
- Weakness: Use of Hard-coded Cryptographic Key
- Bounty: Hidden
この報告は、Reddit が公開している JavaScript のファイルに有効な Paypal のAPI Key がハードコードされていたという脆弱性でした。
3位:View Titles of Private Reports with pending email invitation
- Vote: 237
- Severity: High
- Weakness: Improper Access Control - Generic
- Bounty: $12,500
この報告は、HackerOne のプライベートレポートの招待メールが保留中の場合に、匿名ユーザーがレポートのタイトルを取得することが可能なという脆弱性でした。
2位:Stored-XSS-ads.tiktok.com
- Vote: 301
- Severity: Low
- Weakness: Cross-site Scripting (XSS) - Stored
- Bounty: Hidden
この報告は、TikTok のエンドポイントで Stored XSS が可能という脆弱性でした。
1位:Attachment disclosure via summary report
- Vote: 308
- Severity: Critical
- Weakness: Insecure Direct Object Reference (IDOR)
- Bounty: Hidden
この報告は、HackerOne のレポートの概要を編集機能から、他のユーザーの添付ファイルにアクセス可能という脆弱性でした。
ランキング表
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 308 | IDOR | Hidden | link |
| 2 | 301 | XSS | Hidden | link |
| 3 | 237 | Improper Access Control | $12,500 | link |
| 4 | 227 | Hard-coded | Hidden | link |
| 5 | 212 | Improper Null Termination | Hidden | link |
| 6 | 209 | IDOR | Hidden | link |
| 7 | 187 | Business Logic Errors | $2,000 | link |
| 8 | 182 | Improper Access Control | $25,000 | link |
| 9 | 174 | Buffer Overflow | $12,500 | link |
| 10 | 170 | XSS | $5,000 | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、Gitlab からの「$25,000」でした。
4. その他
過去の HackerOne Most Popular Votes Top 10
2023年
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 676 | IDOR | $15,000 | link |
| 2 | 392 | Improper Access Control | $750 | link |
| 3 | 360 | Remote File Inclusion | none | link |
| 4 | 351 | XSS | $5,000 | link |
| 5 | 346 | SSRF | $25,000 | link |
| 6 | 344 | Information Disclosure | $7,500 | link |
| 7 | 292 | SSRF | $6,000 | link |
| 8 | 284 | XSS | none | link |
| 9 | 283 | IDOR | none | link |
| 10 | 259 | IDOR | $13,950 | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、HackerOne からの「$25,000」でした。
2022年
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 441 | Improper Access Control | $10,000 | link |
| 2 | 300 | IDOR | $12,500 | link |
| 3 | 281 | Path Traversal | $29,000 | link |
| 4 | 268 | Command Injection | $33,510 | link |
| 5 | 263 | Command Injection | $33,510 | link |
| 6 | 260 | Command Injection | none | link |
| 7 | 255 | Privilege Escalation | $20,000 | link |
| 8 | 254 | Buffer Overflow | $10,000 | link |
| 9 | 235 | IDOR | $11,500 | link |
| 10 | 215 | IDOR | $20,000 | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、Gitlab からの「$33,510」でした。
バグバウンティ入門(始め方)
5. 終わりに (まとめ)
本稿では、2024年のバグバウンティプラットフォームで報告された脆弱性報告の Top 10 と、 HackerOne で最も人気投票が多かった Top 10 について紹介しました。
バグバウンティ初心者や開発者などは「Top 10 Vulnerability Types」の統計データより、以下のようなタイプの脆弱性がバグバウンティで発見されることが多いため、これらの脆弱性にフォーカスした学習や取り組みをすることで、よりバグバウンティに入門しやすいと思われます。
⭐︎Bug Bounty Top 3 Vulnerability Types
| Rank | Weakness |
|---|---|
| 1 | XSS (Reflected, Stored, DOM Based) |
| 2 | Information Disclosure |
| 3 | Improper Access Control, IDOR |
⭐︎バグバウンティでよく発見される脆弱性
- インジェクション
- XSS (Reflected, Stored, DOM Based)
- 被害者のブラウザ上で任意の JavaScript のコードを実行させることが可能な脆弱性。
- Top XSS reports from HackerOne
- Open Redirect
- 被害者を外部の Web サイトに自動的にリダイレクトさせることが可能な脆弱性。
- Top Open Redirect reports from HackerOne
- XSS (Reflected, Stored, DOM Based)
- 認可制御不備
- IDOR
- パラメーターやパス名などに含まれる ID を書き換えることで認可制御を回避し、機密情報の取得や改ざん処理などを実行することが可能な脆弱性。
- Top IDOR reports from HackerOne
- Improper Access Control
- 何かしらの認可制御を回避し、機密情報の取得や改ざん処理などを実行することが可能な脆弱性。
- IDOR
- 設定不備
- Information Disclosure
- 何かしらの設定不備により、機密情報が漏洩している指摘事項。
- Top Information Disclosure reports from HackerOne
- Information Disclosure
- ロジック不備
- Business Logic Errors
- アプリケーションにおけるロジックの不備により、仕様に反した行為をすることが可能な脆弱性。
- Top Business Logic reports from HackerOne
- Business Logic Errors
イベント「P3NFEST 2025 Winter」
3月15日に IssueHunt が主催する、学生のためのサイバーセキュリティカンファレンス「P3NFEST 2025 Winter」で、『実践的なバグバウンティ入門(2025年版)』というハンズオン講座の講師を担当します!
\#P3NFEST 現地参加者には、豪華賞品も✨/
— IssueHunt | バグバウンティとASPMを提供しています🦉 (@IssueHunt_jp) March 7, 2025
イベント当日では、会場でスタンプラリーを開催します。
参加者の景品として、「Razerのヘッドホン」をご用意しています‼️
そしてなんと...リクエストにお応えして...
現地参加枠の申込締切も3/12まで延期しておりますので、ぜひお申し込みください🔥… pic.twitter.com/z8bCkfQks2
ここまでお読みいただきありがとうございました。
