バグバウンティやりたい。

そう思い立って、HackerOneに登録しました。他の人のレポートを読んだり、テストしてみたりしましたが、業務で脆弱性診断をしているわけではないですし、どこから始めればいいのか全然わかりません。手当り次第テストしても効率よくないし…。

　バグバウンティについて調べていたら、Synack Red Team（SRT）なるものがあると知りました。審査を通過しないと参加できない、少し敷居が高いプラットフォームです。メンバー間での交流もあるようで、「ここならプロから技術を盗める！」と思って、ダメ元で応募したところメンバーになれました。今回は、応募からメンバーになるまでの経緯を共有したいと思います。

Synack Red Teamとは

　Synackは、高度な技術を持つホワイトハッカーを集めて「Synack Red Team」を組織し、脆弱性診断サービスを展開しています。他のオープンなバグバウンティプラットフォームと違うのは、クローズドな診断案件が定期的に提供される点と、診断が顧客のビジネスに影響を与えないよう厳格なルールが定められている点が挙げられます。

登録の流れ

1. 書類審査

2. 順番待ち

3. 技術審査

4. ビデオ面接

5. バックグラウンド審査

6. チュートリアル

　条件を満たすといくつかのステップをパスすることができます。私は、OSCP・OSWEを取得しているので、技術審査までスキップできました。詳しくは、下記を参考にしてください。

1 書類審査

　ここで必要事項を入力し、英語の履歴書を提出します。時期にもよると思いますが、私の場合は1週間ほどでビデオ面接の案内が来ました。

2 順番待ち

　SRTは、住んでいる地域や、技術スタックなどにもとづいて人員調整されているようです。OffSecの資格など持っていればパスできます。

3 技術審査

　HackTheBoxのCTFチャレンジをやるという噂を聞きました。資格など持っていればパスできます。

4 ビデオ面接

　英語で話す必要があるので、緊張しました。面接といっても、ワンウェイ・インタビューというもので、画面に表示される質問に動画で答えるような形式です。時間は無制限で何回でも撮影し直せたので、バリバリに英会話できなくても大丈夫です。

5 バックグラウンド審査

　犯罪歴、職歴などが調べられます。住所の遍歴と職歴などを入力して、専門の会社に調査してもらいます。過去にフランスに住んでいたことがあるので、フランス警察に犯罪歴がないことを証明する書類を発行してもらうなどの作業が必要でした。審査が終わるまで、けっこう時間がかかるので気長に待ちましょう。私は、3週間ほどで終わりました。

6 チュートリアル

　ここまで来たらあと少しです。SRTのプラットフォームの使い方や、守るべきルールについてのチュートリアルを完了しなければいけません。途中でクイズが出題されるのですが、合格点に達しないと終わりません。一回失敗すると、やり直せないので真剣に問いてください！サポートに連絡するとリセットしてもらえますが、時差が17時間あるのでめんどくさいです！

まとめ

　手間のかかるプロセスを通過した分、喜びも一入です！ちゃんと成果を出さないと退場させられるらしいので、プロから技術を盗んで貢献できるようにがんばります。しばらくは、バグバウンティに没頭しそう…

EOF