【Episode 15】

▼News

• ブログ企画でインタビューを実施しました！
  • 「⁠日本人バグハンター11人に聞いた！バグバウンティの魅力や面白さについて⁠」
• Spotify等の媒体で、エピソードの概要欄にタイムスタンプを導入しました！

▼Speakers

• morioka12 (⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠@scgajge12⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠)
• mokusou (⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠@Mokusou4⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠)
• RyotaK (⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠@ryotkak⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠)

▼Summary (Timestamp, Link)

• (00:27) ①最近の取り組みについて
  • (00:33) mokusou
    • ⁠Meta Bug Bounty Researcher Conference⁠
  • (05:09) RyotaK
    • ⁠Meta Bug Bounty Researcher Conference⁠
    • ⁠SECCON 13 CTF Final 作問記⁠
  • (12:17) morioka12
    • ⁠日本人バグハンター11人に聞いた！バグバウンティの魅力や面白さについて⁠
• (23:00) ②トレンドの出来事や脆弱性についてなど
  • (23:38) ⁠How I made $64k from deleted files — a bug bounty story⁠
  • (28:35) ⁠Escalating Impact: Full Account Takeover in Microsoft via XSS in Login Flow⁠
  • (32:05) Self XSS, iframe
  • (34:36) ⁠React Router and the Remix’ed path⁠
• (35:37) ③リスナーからの質問回答 (Q&A)
  • (37:29) Q. 正規表現やサニタイズ周りの学習法、XSSの探し方について
  • (46:08) Q. DOM Based XSSなどのDOMに関する脆弱性の探し方について
• (48:18) RyotaK流のコードリーディング

▼Survery (Question Form)

• ⁠https://forms.gle/wkr2jkc3m9o8NhPk7⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠
  • BBJP_Podcast で話して欲しいテーマや聞きたいことなどを Google Form で募集しています！

▼Official Information

• ⁠Web Pages⁠
• X: ⁠@BBJPPodcast⁠
• hashtag: #BBJP_Podcast

【Episode 14】

Speakers

• morioka12 (⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠@scgajge12⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠)
• mokusou (⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠@Mokusou4⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠)
• RyotaK (⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠@ryotkak⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠)

Summary (Linkのみ)

• [大テーマ] 最近の取り組みについて

• Burp Suite Extension "Autorize"
• - https://github.com/Quitten/Autorize/
• Web Security Auditing Toolkit "Caido"
• - https://caido.io/
• Caido Plugin "CaidoReflector"
• - https://github.com/bebiksior/CaidoReflector
• Caido Plugin "ui-kit"
• - https://x.com/caidoio/status/1904542918641160441
• Caido Plugin "devtools"
• - https://github.com/caido-community/devtools
• Caido Plugin "ParamFinder"
• - https://github.com/bebiksior/ParamFinder
• Caido Plugin "Shift"
• - https://shiftplugin.com/
• HTTPS Proxy "mitmproxy"
• - https://mitmproxy.org/
• - https://github.com/mitmproxy/mitmproxy
• SECCON CTF 13 Finals "not-that-short Challenge": creator RyotaK
• - https://x.com/ryotkak/status/1897299540598006249
• Critical Thinking - Bug Bounty Podcast "Ep 115": guest mokusou
• - https://youtu.be/zELFGXP6oeA
• P3NFST 2025 Winter "開催レポート"
• - https://issuehunt.jp/events/2025/winter/news/thanks
• P3NFEST 2025 Winte "コードから探す脆弱性": by RyotaK
• - https://ryotak.net/slides/?id=1
• セキュリティ診断AIエージェント "Takumi"
• - https://flatt.tech/takumi
• CVE-2025-29768 "potential data loss with zip.vim and special crafted zip files"
• - https://github.com/vim/vim/security/advisories/GHSA-693p-m996-3rmf
• CVE-2025-27423 "potential code execution with tar.vim and special crafted tar files"
• - https://github.com/vim/vim/security/advisories/GHSA-wfmf-8626-q3r3
• 語学アプリ "Duolingo"
• - https://www.duolingo.com/
• P3NFEST 2025 Winte "実践的なバグバウンティ入門(2025年版)"
• - https://speakerdeck.com/scgajge12/shi-jian-de-nabagubaunteiru-men-2025nian-ban
• セキュリティ若手の会 "第2回 LT&交流会 開催記ブログ"
• - https://zenn.dev/sec_wakate/articles/3891a59ab0b4fb
• [中テーマ] トレンドの出来事や脆弱性についてなど
• CVE-2025-29927 "Authorization Bypass in Next.js Middleware"
• - https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
• Next.js and the corrupt middleware: the authorizing artifact
• - https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware
• One PUT Request to Own Tomcat: CVE-2025-24813 RCE is in the Wild
• - https://lab.wallarm.com/one-put-request-to-own-tomcat-cve-2025-24813-rce-is-in-the-wild/
• IngressNightmare: 9.8 Critical Unauthenticated Remote Code Execution Vulnerabilities in Ingress NGINX
• - https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities
• HackerOne "Hai"
• - https://x.com/jobertabma/status/1904947501649830366
• Bug Bounty Village CFP
• - https://x.com/BugBountyDEFCON/status/1902853396257710489

• [Q&A] なし

Web Page

• ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠https://bugbountyjppodcast.notion.site/Bug-Bounty-JP-Podcast-8bf1080383a54c4a8848f10bfeb874b3?pvs=4⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠

Survery

• ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠https://forms.gle/wkr2jkc3m9o8NhPk7⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠

BBJP_Podcast で話して欲しいテーマや聞きたいことなどを Google Form で募集しています。

感想も X(Twitter)でハッシュタグ「#BBJP_Podcast」や Google Formでいただけると嬉しいです。

【1周年記念回 & ゲスト回】

Speakers

• morioka12 (⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠@scgajge12⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠)
• mokusou (⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠@Mokusou4⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠)
• RyotaK (⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠@ryotkak⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠)
• ゲスト：Masato Kinugawa (@kinugawamasato)

Summary (Linkのみ)

• [大テーマ] 最近の取り組みについて
• Automated Mobile App Security⁠
• https://oversecured.com/
• Achieving RCE in famous Japanese chat tool with an obsolete Electron feature
• https://flatt.tech/research/posts/escaping-electron-isolation-with-obsolete-feature/
• Leaderboard | Google Bug Hunters
• https://bughunters.google.com/leaderboard
• P3NFEST 2025 Winter
• https://issuehunt.jp/events/2025/winter/p3nfest
• [中テーマ] トレンドの出来事や脆弱性についてなど
• Exploring the DOMPurify library: Hunting for Misconfigurations (2/2)
• https://mizu.re/post/exploring-the-dompurify-library-hunting-for-misconfigurations
• Zero Day Initiative - Announcing Pwn2Own Berlin and Introducing an AI Category
• https://www.zerodayinitiative.com/blog/2025/2/24/announcing-pwn2own-berlin-2025
• Top 10 web hacking techniques of 2024
• https://portswigger.net/research/top-10-web-hacking-techniques-of-2024
• Leaking the email of any YouTube user for $10,000
• https://brutecat.com/articles/leaking-youtube-emails
• Decoding Google: Converting a Black Box to a White Box
• https://brutecat.com/articles/decoding-google
• NDevTK Writeup Blog
• https://ndevtk.github.io/writeups/
• 8 Million Requests Later, We Made The SolarWinds Supply Chain Attack Look Amateur
• https://labs.watchtowr.com/8-million-requests-later-we-made-the-solarwinds-supply-chain-attack-look-amateur/
• How We Hacked a Software Supply Chain for $50K
• https://www.landh.tech/blog/20250211-hack-supply-chain-for-50k/
• [Guest] Masato Kinugawa
• DiscordデスクトップアプリのRCE
• https://masatokinugawa.l0.cm/2020/10/discord-desktop-rce.html
• Cure53
• https://cure53.de/
• Cybozu Bug Bounty Point Cumulative Ranking
• https://x.com/CybozuBugBounty/status/1884799350666305794
• 世界最大規模のバグバウンティコンテスト・Pwn2Ownの魅力とは？
• https://flatt.tech/magazine/entry/20240404_pwn2own
• [Q&A] なし

Web Page

• ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠https://bugbountyjppodcast.notion.site/Bug-Bounty-JP-Podcast-8bf1080383a54c4a8848f10bfeb874b3?pvs=4⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠

Survery

• ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠https://forms.gle/wkr2jkc3m9o8NhPk7⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠

BBJP_Podcast で話して欲しいテーマや聞きたいことなどを Google Form で募集しています。

感想も X(Twitter)でハッシュタグ「#BBJP_Podcast」や Google Formでいただけると嬉しいです。

Speakers

Summary (Linkのみ)

Web Page

Survery

BBJP_Podcast で話して欲しいテーマや聞きたいことなどを Google Form で募集しています。

感想も X(Twitter)でハッシュタグ「#BBJP_Podcast」や Google Formでいただけると嬉しいです。

Speaker

Summary (Linkのみ)

Web Page

Survery

BBJP_Podcast で話して欲しいテーマや聞きたいことなどを Google Form で募集しています。

感想も X(Twitter)でハッシュタグ「#BBJP_Podcast」や Google Formでいただけると嬉しいです。

Speaker

Summary (Linkのみ)

Web Page

Survery

BBJP_Podcast で話して欲しいテーマや聞きたいことなどを Google Form で募集しています。

感想も X(Twitter)でハッシュタグ「#BBJP_Podcast」や Google Formでいただけると嬉しいです。

Speaker

Summary (Link)

Web Page

Survery

BBJP_Podcast で話して欲しいテーマや聞きたいことなどを Google Form で募集しています。

感想も X(Twitter)でハッシュタグ「#BBJP_Podcast」や Google Formでいただけると嬉しいです。

[お知らせ]

Speaker

Summary (Link)

Web Page

Survery

BBJP_Podcast で話して欲しいテーマや聞きたいことなどを Google Form で募集しています。

感想も X(Twitter)でハッシュタグ「#BBJP_Podcast」や Google Formでいただけると嬉しいです。

[お知らせ]

Speaker

Summary (Link)

Web Page

Survery

BBJP_Podcast で話して欲しいテーマや聞きたいことなどを Google Form で募集しています。

感想も X(Twitter)でハッシュタグ「#BBJP_Podcast」や Google Formでいただけると嬉しいです。

Speaker

Summary (Link)

Web Page

Survery

BBJP_Podcast で話して欲しいテーマや聞きたいことなどを Google Form で募集しています。

感想も X(Twitter)でハッシュタグ「#BBJP_Podcast」や Google Formでいただけると嬉しいです。