k2wanko
2019-02-18LINEで脆弱性探してます。
こんにちは、LINEのセキュリティ室でセキュリティエンジニアをしているコキチーズです。
この記事ではLINEが運営している、LINE Security Bug Bountyの2018年(1月1日~12月31日)の結果についてご紹介します。
2018年 Bug Bounty Report
2018年下期のBug Bountyを通しての報告は次のような結果でした。
報告件数
X軸の数値は第何週かを表しています。
認定された報告の合計は88件でした、2017年は45件だったので倍近く増えました。2017年は途中で審査対象の拡大をしたということもありましたが、プログラムの認知が広まり、複数の報告をしてくれるユーザーもいます。営業日換算で言えば、毎日1件以上の報告が来ていて、毎週1件以上の認定がされています。
脆弱性の種類別には次のようになっています。
Hall of Fameとして認定された中で1番多いのはOtherで15件で、次いで多いのがXSSでした。Otherはユーザーが自力で回復不能なクライアント上のDoSや複合的な問題などカテゴライズにはないけどインパクトの大きい問題に対して認定
