出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32436
原題: X-Request-Purpose: Identifying "research" and bug bounty related scans?, (Thu, Oct 30th)
“`html
バグバウンティ活動を識別する新しいHTTPヘッダー「X-Request-Purpose」について解説
近年、バグバウンティプログラムの普及により、セキュリティリサーチャーがウェブアプリケーションの脆弱性検証を行う機会が増えています。しかし、通常のユーザーアクセスとバグバウンティ活動を区別するのは運用側にとって難しい課題です。そこで注目されているのが、新たに提案されたHTTPヘッダー「X-Request-Purpose」です。
主要なポイント
- 「X-Request-Purpose」ヘッダーの役割:このカスタムHTTPヘッダーは、リクエストの目的を明示的に示すために設計されており、バグバウンティ参加者が脆弱性検証のリクエストに付与します。
- 識別の具体例:ヘッダーの値として「bugbounty」や「security-testing」、「research」などが設定され、これによりサーバー側はバグバウンティ関連のアクセスを容易に識別可能です。
- 補助的な情報としての利用:このヘッダーは任意であり、悪意ある攻撃者が偽装するリスクがあるため、単独での信頼はできません。あくまで他のセキュリティ対策と組み合わせて運用することが推奨されます。
- 関連する他のヘッダー:「X-Hackerone-Research」や「X-Bugcrowd-Ninja」、「X-Bug-Hunter」なども存在し、特定のバグバウンティプラットフォームやリサーチャーを示す目的で使われています。
- 運用上の注意点:これらのヘッダーを持つリクエストを特別扱いせず、通常のアクセスと同様に扱うことが望ましく、ブロックや許可の判断はリクエスト全体の内容に基づくべきです。
技術的な詳細や背景情報
HTTPヘッダーは、クライアントとサーバー間で送受信される追加情報を伝えるための仕組みです。標準のヘッダーに加え、カスタムヘッダーを用いることで特定の目的を示すことが可能です。
「X-Request-Purpose」はその一例で、リクエストがバグバウンティ活動やセキュリティリサーチの一環であることを示します。例えば、以下のようなヘッダーが送信されることがあります。
X-Request-Purpose: researchX-Hackerone-Research: plusultraX-Bugcrowd-Ninja: plusultraX-Bug-Hunter: true
これらは特定のプラットフォームやリサーチャー名を示し、企業側がバグバウンティ関連のアクセスを識別しやすくするためのものです。ただし、これらのヘッダーは誰でも送信可能であり、正当性を保証するものではありません。
影響や重要性
このヘッダーの導入により、企業はバグバウンティ活動をより正確に識別できるため、誤検知によるセキュリティアラートの削減や、バグバウンティ参加者への適切な対応が促進されます。また、問題が発生した際にリサーチャーと連絡を取りやすくなるメリットもあります。
一方で、偽装リスクがあるため、これらのヘッダーに過度に依存することは避け、従来のセキュリティ対策と併用することが重要です。さらに、まだ導入していないサイト運営者には、バグバウンティ活動の透明性と連絡手段を確保するために、/.well-known/security.txtファイルの設置も推奨されています。
まとめ
「X-Request-Purpose」ヘッダーは、バグバウンティ関連のHTTPリクエストを識別するための有用なツールです。これにより、セキュリティ運用の効率化やリサーチャーとの円滑なコミュニケーションが期待できます。しかし、偽装のリスクがあるため、単独での信頼はできず、他のセキュリティ対策と組み合わせて慎重に運用することが求められます。今後のバグバウンティ活動の拡大に伴い、このような識別手法の普及と改善が期待されます。
“`
