低権限ユーザーから任意ファイルアップロードが可能。ファイル検証、権限チェック、パストラバーサル対策の不備によりRCEにつながる可能性を報告。
01 / CVE Reports
発見・報告したCVE
ログインユーザーに対する権限チェック不備により、環境次第でRCEに発展する任意ファイルアップロードを報告。
未認証で到達可能なSVGアップロード経路を利用した格納型XSSを報告。
未認証で利用できる入力経路から格納型XSSが成立する問題を報告。初のCVSS High。
管理者向け設定処理でnonceと権限チェックが不足していたCSRFを報告。
管理者権限で発生するSQLインジェクションを報告。検索処理の入力値処理とSQL組み立てに起因。
低権限ユーザーから実行可能なBlind SQLインジェクションを報告。初めて報奨金を獲得。
Shop Manager以上の権限で発生するSQLインジェクションを報告。
管理者向け設定値に存在するXSSとCSRFの組み合わせを報告。
phpinfo.phpが未認証で閲覧可能な情報漏えいを報告。
非公開・削除済み・パスワード保護済みイベント情報の漏えいを報告。初めて取得したCVE。
02 / Projects
開発物
Flask / React
Bug Hunter Lifetime Earnings
Wordfenceに登録されているバグハンターの公開実績と推定報奨金を可視化するWebアプリケーション。
Flask / API
WordFence Bug Hunting Database
直近公開されたWordPress脆弱性、アクティブインストール数、公開日、報奨金見積りを一覧化する調査支援ツール。
Python / VirusTotal API
checkIP.py
IPアドレスを入力し、VirusTotalの判定結果を取得する調査補助スクリプト。
Python / WordPress API
searchPlugin.py
WordPressプラグイン調査時の対象探索とダウンロードを補助するスクリプト。
03 / Achievements
資格・活動実績
2026.06
予備自衛官補(技能・システム甲)
2026.03
セキュリティ・キャンプ2026コネクト 脅威クラス 修了
2026.03
PicoCTF2026 #30(JPStudents)
2025.07
公開済みCVE獲得
2025.04
OSSにて初脆弱性報告&CVE発行(非公開)
2025.03
HackerOneで反射型XSS脆弱性報告(現在トリアージ中)
2024.09
TOEIC Score 670
2024.08
Hack The Box Hacker
2024.05
AtCoder 茶色(Python)
2023.04
情報処理安全確保支援士試験 合格(未登録)
2022.12
日商簿記検定2級 合格
2022.10
応用情報技術者試験 合格
2022.09
基本情報技術者試験 合格
2022.09
第44回東海地区高等学校商業実務競技大会(情報の部) 団体優勝(個人9位)
04 / Articles
記事
実際のランサムウェア脅迫文を見つけたので手口を解説する【The GENTLEMEN ?】
セキュリティ・キャンプ2026コネクト参加レポート
セキュリティ・キャンプ2026コネクト 脅威クラス課題晒し
PicoCTF2026 Writeup(Pwnableのみ)
【🍔】ミーム化している「某Youtuber偽バー〇ンCM情報漏洩事件」について調べてみたら、思った以上に突っ込みどころ満載だった
自動ハッキングツール「PentestGPT」を試してみたけど、意外とデメリットが多かった。
【夢なんてない】バグバウンティで報奨金を獲得するのに1年以上もかかった話
【バグバウンティ】資格マンだった俺が脆弱性を報告するまで
05 / Focus Areas