Hello there, ('ω')ノ
1. 自動化のゴールを決めよう
| レベル | 目的 | 例 |
|---|---|---|
| レベル1:雛形生成 | 手元にテンプレを一瞬で呼び出す | bbt new --xss |
| レベル2:証拠自動貼り付け | Burp ログ→Markdown へ即埋め込み | Burp Extender「Logger ++」+bbt import |
| レベル3:提出 API 連携 | HackerOne/Bugcrowd へワンクリック投稿 | 自前スクリプト+プラットフォーム API |
まずは レベル1→2 を目標にすると挫折しません。
2. “まずはこれ” の 3 ツール
| ツール | 特徴 | 導入コマンド/URL |
|---|---|---|
| bbreport (bbt) | CLI で Markdown テンプレ生成/Burpログ取り込み | pip install bbreport |
| Dradis Community | Web UI でレポート項目をカスタム+Word/PDF 出力 | https://dradisframework.com/ |
| HackTricks DocGen | Nuclei, Burp スキャン結果をサマリ化 | npm install -g hacktricks-docgen |
ポイント:OSS かつローカル完結なので機密コードを外に出さない。
2.1 bbreport(CLI テンプレ職人)
# 新規 XSS レポート雛形を作成 bbt new --xss -o report_xss.md # Burp Request/Response を JSON で取り込み bbt import burp_log.json --to report_xss.md
- 自動で「再現手順」ブロックを生成
- Burp のリクエスト本文が
httpブロックで整形され視認性◎
2.2 Dradis Community(チーム共有型)
- Docker で簡単起動
docker run -d -p 3000:3000 dradis/dradis-ce
- UI で「レポート→New」→テンプレ選択
- プロジェクト毎に Evidence をドラッグ&ドロップ
- Export → Word/PDF をクリックで完成
複数ハンターが同じ案件を追う場合に威力を発揮します。
2.3 HackTricks DocGen
# Nuclei JSON を自動要約 hacktricks-docgen -i nuclei_result.json -o nuclei_report.md
- ミドル~ロー脆弱性を自動で表に整理
- 手動で追記するのは Impact と Fix だけで OK
3. 実運用フロー(例:bbreport + HackerOne)
調査
├─ Burp でバグ再現 → Save item as JSON
├─ bbt new --idor # 雛形生成
├─ bbt import burp.json # 証拠貼り付け
└─ vim report.md で Impact/Fix 追記
↓
bbt submit --platform hackerone --handle myhandle --file report.md
config.ymlに API トークンを保存すれば 30秒で提出完了- ステータスやコメントも
bbt status <report-id>で CLI から確認
4. 自動化の “落とし穴” と対策
| 落とし穴 | どう防ぐ? |
|---|---|
| コピペで 社名を誤表記 | テンプレ中に ${company} 変数 → bbt new --company Foo |
| 機密情報の 外部クラウド送信 | OSS・ローカル動作ツールを基本に |
| 長いログで ノイズ大量 | --max-lines 50 などオプションで要点抽出 |
| 文体がテンプレ臭 | Impact/Fix セクションだけは 自分の言葉で 書く |
5. レベル3:プラットフォーム API 連携のヒント
- HackerOne:GraphQL API 文書が公開 →
mutation CreateReport - Bugcrowd:REST
/reportsエンドポイント - 自動スケジューラ:GitHub Actions or cron +
bbtCLI で夜間バッチ提出
注意:大量レポートを自動連投すると スパム判定 の可能性。 “要人手レビュー” の仕組みを挟むと安全です。
6. 何を自動化し、何を人が書くか
| 自動化向き | 人間が書く |
|---|---|
| 雛形/目次 | 攻撃経路の概念図 |
| Burp/Nuclei 解析結果 | ビジネス影響のストーリー |
| コード差分ハイライト | 修正の優先度・リスク評価 |
Rule of thumb:“客観データ” はツール任せ、“主観的インパクト” は自分の言葉で。
まとめ:レポートは書類作成ではなく“データ整形”
- OSS ツールで 雛形 & 証拠 を自動生成し執筆コスト半減
- Impact と修正案だけに頭を使い、説得力を最大化
- 自動化は 段階導入:雛形→証拠→API 連携 の順が安全
時間を節約し、浮いたリソースで さらなるバグハント に挑みましょう!
Best regards, (^^ゞ
