Medium.comでバグバウンティの記事を読みました。
それに関連するメモを記しています。

注意
ここに書いてあることは試さないでください。
仮に試して問題が発生しても、私は一切の責任を負いません。

読んだ記事

medium.com

重要なこと

• システムの機能とその脆弱性を見つける技術を理解すること
• 基礎となる原則と概念を理解すること

ハッキングは独特の考え方を中心に展開している

考え方は、一貫した実践、貴重な現実世界での経験、確かな基礎知識によって、時間の経過とともに発展していく

1. 基本的なITスキル: コンピューターシステムとインターネットがどのように機能するか
2. ネットワークスキル: OSIモデル、データ転送プロセス、ネットワーク展開技術。認定資格の学習としてCompTIA Network+、CompTIA A++、CCNAなど。YouTubeで役立つ情報を見つけられる
3. Linuxスキル: Linuxディストリビューションを選択する。初心者はKali Linuxから始めるとよい。さまざまなコマンドやBashスクリプトなどの理解。無料のコースやウェブサイトがある。
4. コーディングスキル: Pythonがお勧め。YouTubeで無料でPythonを学べる

ハッキングの基礎

• TryHackMe
• HackTheBox
• PentesterLab

基本をマスターするために上記のTHMやHTBをいくつか完了すると、仕事に応募する準備が整う

もっと高みを目指す

ここまでで自分の好みの分野が攻撃もしくは防御、レッドチームもしくはブルーチームかを知ることができる

勉強し、自分の行きたい道を決める

ブログや自分の経験や洞察を共有する

これは自分自身の勉強にもなる

CTF

楽しくてコストもかからない

利益を得ることもできる

競技プログラミングにも似ているが、隠されたフラグを発見するということが異なる点である

picoCTF、CTFtime、Hacker 101 CTF、OverTheWireなどでは、初級者から上級者までの課題がある

作成する

VMやVirtualBoxでキーロガーソフトウェアやパスワードマネジャー、ランサムウェアを作成する。これらを開発するためには、調査と分析力が必要。

バグバウンティについて。バグバウンティは企業の同意を得て、合法的に侵入し、脆弱性を特定することで報酬を与えられる。

バグバウンティの能力を鍛える

1. HackTheBox
2. HackThisSite
3. PortSwigger
4. HellBoundHackers
5. bWAPP
6. intigriti

脆弱性を見つける

1. HackerOne
2. Bugcrowd
3. initigriti
4. 他の企業サイト、例えばGoogle、Meta、Microsoftなど

また、Awesome-Pentestも。

そして、学び続けることを忘れないこと。

メモ

• Awesome-Pentest: 

  https://github.com/enaqx/awesome-pentest

やることたくさんある。私はまだはじめの一歩を歩み始めたところ。やることも、やれることもまだまだある。