NextCloudのレポートをいくつか確認しました。

これらの内容から、今後どう攻めてくか、何を学んでいくかを考える

・内容について

確認したレポートの中では、特にめちゃくちゃ技術よりな話というのは少ない印象

こういうOSS使ってて脆弱性がー、という内容よりも、単にロジック不備だったり考慮漏れだったりが多い

たしかに、多くの人の目に触れて製品化されてるOSSよりは、一会社が作った独自のサービスの方が漏れが多いよな…

・探し方について

自分があまりやってなかったところとして、

とあるサービスのバグバウンティをやるにあたってちゃんとユーザーを作ってテストしてないことが挙げられる

というか、それくらいやれよって感じなんですが…

ここで面倒くさがってるのがまずはいけないかな

なので、そこはきっちり作ってやります

・さらに踏み込んで

積極的にユーザー作成して、サービスをしっかり使っていきます

で、多くの場合、ユーザーを複数人使ってテストしてることが多いです

確かに、自動でテストができなさそうなので、狙い目って感じですよね

なので、複数ユーザーをきちんと作ってやってきます

それから、ユーザー間をやり取りするXX-ID的なものがないか、それらをどうにかして探せるような手段を見つけるようにします

・ついでに

あと、権限周りのとこも重要だなぁと

そこは権限によってできるできないが明確化されてるので、きちんと把握した上で攻めていく

ほかサービスにまたがるところとかね、特に

そんなわけで、

ちょっとずつですが頑張っていきます

以上