Hello there, ('ω')ノ
🧭 なぜチェックリストが必要なのか?
- うっかりルール違反をしてしまった
- ツールの設定ミスでシステムに負荷をかけてしまった
- バグを見つけたのに記録が不十分で報告できなかった
こういった“もったいないミス”は、準備不足が原因であることがほとんどです。
事前確認をするだけで、多くのトラブルを防ぐことができます。
✅ 実践前チェックリスト:10の確認ポイント
以下に、初めてバグハンティングを行う際の基本チェックリストをまとめました。
| 項目 | チェック内容 |
|---|---|
| ✅ 1. 参加プログラムを選んだか? | HackerOneなどで、公開プログラムに参加登録 |
| ✅ 2. プログラムのルールを読んだか? | 対象範囲(スコープ)と禁止事項を確認 |
| ✅ 3. 使用予定ツールは許可されているか? | BurpやZAPの使用が明記されているかチェック |
| ✅ 4. 対象ドメイン・URLをリスト化したか? | サブドメイン含めて一覧にまとめておく |
| ✅ 5. 自分の調査環境は整っているか? | 仮想環境・VPN・ブラウザ・Burp設定など |
| ✅ 6. テスト用アカウントは準備済みか? | 実際のユーザーではなくダミーアカウントで検証 |
| ✅ 7. ログ・メモを取りながら作業できるか? | バグ発見時に再現手順を残せるように |
| ✅ 8. 通信の記録は取れているか? | BurpやPostmanでリクエスト履歴を残す |
| ✅ 9. 自動スキャンは控えめに設定したか? | 軽いモード or 手動確認を基本に |
| ✅10. バグ発見時の報告フォーマットは確認済みか? | プラットフォームごとの報告項目をチェック |
📒 チェックリストPDFテンプレートをご希望の方へ
上記チェック項目は、作業前に紙に印刷して確認するもよし、NotionやGoogleドキュメントにまとめておくのもよし。
ご希望であれば、印刷用のテンプレート(PDF形式)もご提供可能です。 お気軽に「チェックリストのテンプレートください」とお申し付けください。
🧠 ちょっとした心構えも大事です
- 「失敗してもOK、それも経験!」という気持ちで挑みましょう
- 1回でバグが見つからなくても大丈夫です
- 調査の記録を残せば、次回に必ず活かせます
✅ まとめ:準備を制する者が、バグバウンティを制す
- ツール・環境・ルール・記録体制、どれもバグハンティングには不可欠
- 準備が整っていれば、自信をもって実践に進める
- 初めてのバグ発見・報告は、必ず「成功体験」につながります!
準備は地味。でも、すべての“成功の裏側”には、準備がある。
Best regards, (^^ゞ
