出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32436
原題: X-Request-Purpose: Identifying "research" and bug bounty related scans?, (Thu, Oct 30th)
Bug Bounty識別用「X-Request-Purpose」ヘッダーの実態と対策
近年、バグバウンティプログラムに関連したHTTPリクエストヘッダーとして「X-Request-Purpose」や「X-Hackerone-Research」などが利用され始めています。これらはバグバウンティ活動の識別を目的としたもので、セキュリティ研究者と企業間のコミュニケーションを円滑にする狙いがあります。
主要なポイント
- バグバウンティ識別用ヘッダーの種類:「X-Request-Purpose: Research」や「X-Hackerone-Research: plusultra」など、複数のカスタムヘッダーが存在し、これらはバグバウンティ活動の一環であることを示すために使われています。
- 企業側の利用状況:一部の企業はバグバウンティ参加者にこれらのヘッダーの付与を求めており、例えばWeb.comのBugcrowdページでその例が確認できます。
- ヘッダーの信頼性の問題:これらのヘッダーは任意に付与可能であり、悪意のある第三者が偽装することも可能なため、ヘッダーの存在だけでリクエストを特別扱いするのは推奨されません。
- 防御側の対応:これらのヘッダーを含むリクエストは通常のリクエストと同様に扱い、内容に基づいて判断すべきであり、ヘッダーの有無だけでブロックや許可を決めるべきではありません。
- 推奨されるセキュリティ対策:バグバウンティ識別ヘッダーの導入に加え、/.well-known/security.txtファイルの設置が推奨されており、これによりセキュリティ研究者が連絡先情報を容易に取得できます。
技術的な詳細や背景情報
「X-Request-Purpose」などのカスタムHTTPヘッダーは、HTTPリクエストに付加情報を伝えるために用いられます。特にバグバウンティプログラムでは、研究者が送信するリクエストが調査目的であることを明示するためにこれらのヘッダーを付与します。これにより、企業は問題発生時に迅速に研究者へ連絡を取ることが可能になります。
しかし、HTTPヘッダーはクライアント側で自由に編集できるため、これらのヘッダーの信頼性は限定的です。攻撃者が偽装して悪用するリスクも存在します。したがって、ヘッダーの有無だけでアクセス制御を行うことは危険です。
また、/.well-known/security.txtはRFC9116で規定されたファイルで、ウェブサイトのルートディレクトリに設置することで、セキュリティ関連の連絡先やポリシーを公開できます。これにより、バグバウンティ参加者やセキュリティ研究者が正しい連絡先を容易に見つけられます。
影響や重要性
バグバウンティプログラムは脆弱性発見の重要な手段であり、研究者と企業の円滑なコミュニケーションが不可欠です。識別用ヘッダーの導入は、問題発生時の対応速度向上に寄与しますが、誤った信頼はセキュリティリスクを招く可能性があります。
したがって、企業はこれらのヘッダーを参考情報として活用しつつ、リクエストの内容や挙動に基づいた総合的な判断を行う必要があります。また、security.txtの設置はバグバウンティ参加者に対する信頼性向上と連絡効率化に役立ちます。
まとめ
- 「X-Request-Purpose」などのヘッダーはバグバウンティ活動の識別を目的としているが、偽装可能なため過信は禁物。
- 企業はこれらのヘッダーを特別扱いせず、リクエストの内容に基づいて対応することが重要。
- /.well-known/security.txtファイルの設置は、セキュリティ研究者との連絡を円滑にし、バグバウンティプログラムの運用を支援する。
- 総じて、バグバウンティ活動の透明性と信頼性を高めるために、識別用ヘッダーの活用と適切な運用ルールの整備が求められる。
