セキュリティバウンティハンター

実際の脆弱性発見が目標で、責任ある開示またはバウンティ提出向けであり、広範な実践的なレビューではない場合に、このスキルを使用します。

ユースケース

• コードベースをスキャンして悪用可能な脆弱性を発見する
• Huntr、HackerOne または同様のバウンティプラットフォームへの提出資料を準備する
• 「この脆弱性は本当にバウンティを獲得できるか」対「理論的には安全でないか」の優先順位付け

仕組み

リモートからアクセス可能でユーザーコントロール可能な攻撃経路に焦点を当て、プラットフォームが情報提供のみまたはスコープ外と判定するパターンを除外します。

有効なパターン

次のタイプの脆弱性は継続的に影響を持っています:

パターン	CWE	典型的な影響
ユーザーコントロール可能なURLを通じたSSRF	CWE-918	内部ネットワークアクセス、クラウドメタデータ盗聴
ミドルウェアまたはAPI保護での認証回避	CWE-287	無許可のアカウント/データアクセス
リモート逆シリアル化またはアップロード→RCEパス	CWE-502	コード実行
到達可能なエンドポイントでのSQLインジェクション	CWE-89	データ漏洩、認証回避、データ破壊
リクエストハンドラのコマンドインジェクション	CWE-78	コード実行
ファイルサービスパスでのパストラバーサル	CWE-22	任意ファイル読み取り/書き込み
自動トリガーXSS	CWE-79	セッション盗聴、管理者権限侵害

これらをスキップする

プロジェクトで別に記載がない限り、以下は通常、低シグナルまたはバウンティスコープ外です:

• ローカルのみの pickle.loads、torch.load またはリモートパスなしの同等物
• CLIツールのみの eval() または exec()
• 完全にハードコードされたコマンド上の shell=True
• セキュリティヘッダの欠落のみ
• 悪用の影響がないレート制限の苦情
• 被害者が手動でコードをペーストする必要があるセルフXSS
• ターゲットプロジェクトスコープ外のCI/CDインジェクション
• デモ、例、またはテストコードのみ

ワークフロー

1. スコープを最初に確認: プロジェクト規則、SECURITY.md、開示チャネル、除外項目
2. 実際の入口点を探す: HTTPハンドラ、アップロード機能、バックグラウンドジョブ、Webhook、パーサー、統合エンドポイント
3. 該当する場合は静的ツールを実行しますが、分類入力としてのみ使用
4. 実際のコードパスを端から端まで読む
5. ユーザーコントロールが意味のある受け取りポイントに到達することを証明
6. 最小限のセキュリティPoC で悪用可能性と影響を確認
7. レポートドラフト前に重複をチェック

分類ループの例

semgrep --config=auto --severity=ERROR --severity=WARNING --json

その後、手動でフィルタリング:

• テスト、デモ、修正されたコード、ベンダーコードを削除
• ローカルのみまたは到達不可能なパスを削除
• 明確なネットワークまたはユーザーコントロール経路を持つ発見のみを保持

レポート構造

## 説明
[脆弱性は何か、その重要性]

## 脆弱性コード
[ファイルパス、行番号範囲、コードスニペット]

## 概念実証
[最小限の実行可能なリクエストまたはスクリプト]

## 影響
[攻撃者が実現できることが何か]

## 影響を受けるバージョン
[テスト済みバージョン、コミット、またはデプロイターゲット]

品質ゲート

提出前に確認:

• コードパスは実際のユーザーまたはネットワーク境界から到達可能
• 入力は本当にユーザーコントロール
• 受け取りポイントは意味があり、悪用可能
• PoC は動作
• この問題は公開、CVE、または公開チケットで既にカバーされていない
• ターゲットは本当にバウンティプログラム内