SlideShare a Scribd company logo

Сергей Белов (Россия), Mail.ru. Temple of Bug Bounty: Leveling & Farming

K
KazHackStan

Документ содержит информацию о программе вознаграждений за уязвимости (bug bounty) в компании Mail.ru Group, описывая статистику и рабочий процесс обработки отчетов о уязвимостях. Указаны популярные платформы для bug bounty, такие как HackerOne и Bugcrowd, а также внутренние системы компании. Также обсуждаются потенциальные мифы и факты, связанные с bug bounty, включая обработку 0day уязвимостей и опыт работы с ресерчерами.

Technology
1 of 19
Downloaded 11 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Сергей Белов, Mail.Ru Group Temple of Bug Bounty: Leveling & Farming
$ whoami • @sergeybelove • Head of AppSec @ Mail.Ru Group • ZeroNights team since 2013
SSRF CSRF XSS postMessage leak Open Redirect IDOR Insecure random CSP bypass CORS leak
SSRF CSRF XSS postMessage leak Open Redirect IDOR Insecure random CSP bypass CORS leak
Bug bounty Bug Bounty - программы вознаграждения за найденные уязвимости. 1) hackerone.com - самая популярная площадка 2) bugcrowd.com 3) Собственные системы Mail.Ru Group - 5 программ: • https://hackerone.com/mailru • https://hackerone.com/icq • https://hackerone.com/vkcom • https://hackerone.com/ok • http://corp.wamba.com/en/developer/security/
Bug bounty Статистика (Mail.Ru): • Репортов с выплатами — 590 • Всего выплатили ~ $200,000 • Средняя выплата — $335 • Среднее время ответа — 22 часа
Bug bounty Workflow: 1. Новая уязвимость 2. В скоупе? Хватает информации? 3. Подтверждение (или нет) уязвимости 4. Экспорт AS IS в Jira (проект HackerOne) 5. Тикет переформлируется и загоняется в проект нужного продукта 6. В ближайшую среду происходит решение по выплате 7. Выкатывается фикс 8. Закрываются два тикета в Jira, тикет на HackerOne
Мифы и факты Bug Bounty Миф - получая уязвимости от ресерчеров вы можете легко пробовать их на других сайтах! • Уязвимости в 95% случаев относятся только к данному коду • В 5% ресерчер сам пойдет и сдаст ее на других сайтах :) Вы можете отметить репорт как дубликат/известный и не заплатите! • Нет, в HackerOne есть механизм добавления ресерчера в оригинальный репорт • Это невыгодно в долгосрочной перспективе
Bug Bounty & 0 Days Реальная ситуация - присылают 0day уязвимость (server-side) в популярном продукте (доступен извне). Что мы делаем в этом случае: 1) Исправляем у себя (пишем патч сами или закрываем на уровне nginx) 2) Сообщаем вендору, указывая что эту уязвимость нам прислал такой-то ресерчер на HackerOne 3) Выплачиваем ресерчеру вознаграждение
Bug Bounty & 0 Days Тренд: • Ресечеры находят 0day • Репортят вендору и параллельно, в тот же день, во все Bug Bounty, где это применимо (не дожидаясь фикса) • Собирают $$$
Bug Bounty & 0 Days https://hackerone.com/reports/251732
Bug Bounty & 0 Days Будьте внимательны! • Ресерчер нашел уязвимость • В ходе разбирательства стало понятно, что уязвимость в чужом решении (ресерчер не знал об этом) • Мы сообщили об этом вендору, у вендора есть Bug Bounty • Так как данные об уязвимости известны “3rd party persons” вознаграждение вендор не выплачивает • Мы выплачиваем ресерчеру стандартное баунти (но теряется от вендора)
Истории Если нам сообщают возможность брутфорса аккаунтов: • Мы даем логин example@mail.ru и указываем пароль в виде PassXXX, где XXX - три цифры • Ресерчер должен сбрутить их Ресерчер вручную почти сутки вводил капчу вручную и “сбрутил” тестовый аккаунт :)
Истории XXE: 1) Пользователь загружает изображения 2) Сайт пытается определить тип изображения и его размеры (разрешены .jpeg / .png) 3) Ресерчер заменил картинку на SVG с XXE 4) Image::Info пытается определить свойства и юзает старую версию libxml 5) pwned
Истории 1) Студент развернул свой проект на хостинге 2) Запустил сервис, где без авторизации можно исполнять команды ОС 3) Это нашел ресерчер на HackerOne Out of scope, но выплатили $300, т.к. проблема может затрагивать безопасность инфраструктуры.
Истории Доказываем баг вендору в сложных условиях - https://xakep.ru/2014/10/20/difficult- bug-bounty/ Self XSS важны, так как: • Завтра может стать не Self • Разработчик ошибается при реализации фич • Если Stored - чаще всего есть векторы, как это проэксплуатировать (Login CSRF)
Самые дорогие уязвимости — самые простые
Развитие Bug Bounty • Повышали выплаты 22/06/2017 (Server Side) - RCE $3000 => $7000, LFR, RFI, XXE): $2000 => $5000, Injections $2000 => $5000 • Присоединились к Google Play Bug Bounty (+$1000 за критичные уязвимости в Android приложениях - Почта, Облако, TOTP, Календарь) • Работаем над инвайтом ресерчеров для тестирования фич до релиза Принимайте участие ;)
Stay secure & keep hacking s.belov@corp.mail.ru @sergeybelove

More Related Content

ODP
AJAX Security
kappa
 
PPTX
Под капотом Vulners
Kirill Ermakov
 
PDF
Веб-сервисы на страже безопасности
Сергей Сторчак
 
PDF
Основные угрозы безопасности веб-сайтов
SiteSecure
 
ODP
безопасность Ajax приложений александр капранов
Media Gorod
 
PDF
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
Kristina Pomozova
 
PPTX
Онлайн безопасность - фактор #1 в SEO
Yuriy Titkov
 
PDF
Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых ...
Defcon Moscow
 
AJAX Security
kappa
 
Под капотом Vulners
Kirill Ermakov
 
Веб-сервисы на страже безопасности
Сергей Сторчак
 
Основные угрозы безопасности веб-сайтов
SiteSecure
 
безопасность Ajax приложений александр капранов
Media Gorod
 
Безопасный кодинг. Хакеры нас не достанут (Максим “Arrim” Попов)
Kristina Pomozova
 
Онлайн безопасность - фактор #1 в SEO
Yuriy Titkov
 
Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых ...
Defcon Moscow
 

Viewers also liked (11)

PPTX
Bug Bounty #Defconlucknow2016
Shubham Gupta
 
PDF
Bug Bounty Hunter's Manifesto V1.0
Dinesh O Bareja
 
PDF
Bug Bounty Secrets
n|u - The Open Security Community
 
PDF
Bug Bounty Hunting for Companies & Researchers: Bounty Hunting in Sudan and A...
Mazin Ahmed
 
PPTX
How to do well in Bug bounty programs. Presentation at @nullhyd by Abhijeth
Abhijeth D
 
PDF
The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016
Frans Rosén
 
PDF
Bug Bounty - Hackers Job
Arbin Godar
 
PDF
The Game of Bug Bounty Hunting - Money, Drama, Action and Fame
Abhinav Mishra
 
PDF
Bug bounty null_owasp_2k17
Sagar M Parmar
 
PPTX
Bug Bounty - Play For Money
Shubham Gupta
 
PPTX
Bug Bounty for - Beginners
Himanshu Kumar Das
 
Bug Bounty #Defconlucknow2016
Shubham Gupta
 
Bug Bounty Hunter's Manifesto V1.0
Dinesh O Bareja
 
Bug Bounty Secrets
n|u - The Open Security Community
 
Bug Bounty Hunting for Companies & Researchers: Bounty Hunting in Sudan and A...
Mazin Ahmed
 
How to do well in Bug bounty programs. Presentation at @nullhyd by Abhijeth
Abhijeth D
 
The Secret Life of a Bug Bounty Hunter – Frans Rosén @ Security Fest 2016
Frans Rosén
 
Bug Bounty - Hackers Job
Arbin Godar
 
The Game of Bug Bounty Hunting - Money, Drama, Action and Fame
Abhinav Mishra
 
Bug bounty null_owasp_2k17
Sagar M Parmar
 
Bug Bounty - Play For Money
Shubham Gupta
 
Bug Bounty for - Beginners
Himanshu Kumar Das
 
Ad

Similar to Сергей Белов (Россия), Mail.ru. Temple of Bug Bounty: Leveling & Farming (20)

PDF
[STACHKA] Roman Ananev - XSS is real xD
Roman Ananev
 
PPTX
Bug hunt 0.2
BugNunt
 
PPTX
Ты, а не тебя. Армии умных ботов в руках хакера
Positive Hack Days
 
PDF
Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...
Badoo Development
 
PPTX
Эволюция BackDoor.Flashback
hexminer
 
PDF
Этичный хакинг
Positive Hack Days
 
PDF
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Mail.ru Group
 
PDF
Илья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru Group
Mail.ru Group
 
PDF
Как начать тестировать безопасность уже сегодня
Sergey Belov
 
PPTX
Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...
ArtemAgeev
 
PPTX
Как не заразить посетителей своего сайта (Александр Сидоров, Пётр Волков)
Ontico
 
PDF
Расследование инцидентов: как правильно понять, что он произошел и как об это...
jet_information_security
 
PPTX
Продукты Doctor web: как на самом деле нужно защищаться?
Expolink
 
PPTX
Уязвимости веб-сервисов
Positive Hack Days
 
PDF
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Expolink
 
PDF
FireEye IDC IT Security Roadshow Moscow 2016
Dmitry Ragushin
 
PPT
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Expolink
 
PPT
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...
Aibek9
 
PPTX
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
PPT
Анализ работы антивирусных лабораторий
Positive Hack Days
 
[STACHKA] Roman Ananev - XSS is real xD
Roman Ananev
 
Bug hunt 0.2
BugNunt
 
Ты, а не тебя. Армии умных ботов в руках хакера
Positive Hack Days
 
Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...
Badoo Development
 
Эволюция BackDoor.Flashback
hexminer
 
Этичный хакинг
Positive Hack Days
 
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Mail.ru Group
 
Илья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru Group
Mail.ru Group
 
Как начать тестировать безопасность уже сегодня
Sergey Belov
 
Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...
ArtemAgeev
 
Как не заразить посетителей своего сайта (Александр Сидоров, Пётр Волков)
Ontico
 
Расследование инцидентов: как правильно понять, что он произошел и как об это...
jet_information_security
 
Продукты Doctor web: как на самом деле нужно защищаться?
Expolink
 
Уязвимости веб-сервисов
Positive Hack Days
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Expolink
 
FireEye IDC IT Security Roadshow Moscow 2016
Dmitry Ragushin
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Expolink
 
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...
Aibek9
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
Анализ работы антивирусных лабораторий
Positive Hack Days
 
Ad

More from KazHackStan (20)

PPTX
Андрей Масалович (Россия). Корпоративная защита в РК глазами хакера
KazHackStan
 
PDF
Евгений Гончаров (Россия, Казахстан). Автоматизация рутины AD
KazHackStan
 
PPTX
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
KazHackStan
 
PPTX
Тимур Юнусов (Россия), Positive Technologies. Уязвимости банкоматов
KazHackStan
 
PPTX
Антон Bo0oM Лопаницын (Россия), OnSec. Трекинг. Как узнать посетителя, если о...
KazHackStan
 
PDF
Омар Ганиев (Россия). Обзор атак на модели машинного обучения
KazHackStan
 
PPTX
Валерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
KazHackStan
 
PPTX
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
KazHackStan
 
PPTX
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
KazHackStan
 
PPTX
Ярослав Бабин (Россия), Positive Technologies. Основные аспекты при проведени...
KazHackStan
 
PPTX
Виталий Трахтенберг (Израиль), MER Group. Кейс по кибер-расследованию для одн...
KazHackStan
 
PDF
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
KazHackStan
 
PDF
Батыржан Тютеев (Казахстан), ЦАРКА. Уязвимости Казнета
KazHackStan
 
PDF
Максим Ефименко (Казахстан), ЦАРКА. Двойное проникновение
KazHackStan
 
PDF
Сергей Харюк (Украина). Проверка безопасности приложений на платформе iOS
KazHackStan
 
PDF
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
KazHackStan
 
PDF
Ярослав Бабин (Россия), Positive Technologies. Основные аспекты при проведени...
KazHackStan
 
PDF
Ильяс Аринов (Казахстан), ЦАРКА. Linux for newbie hackers
KazHackStan
 
PPTX
Презентация НИТ
KazHackStan
 
PPTX
Дмитрий Кузнецов. Опыт РФ в обеспечении национальной кибербезопасности
KazHackStan
 
Андрей Масалович (Россия). Корпоративная защита в РК глазами хакера
KazHackStan
 
Евгений Гончаров (Россия, Казахстан). Автоматизация рутины AD
KazHackStan
 
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
KazHackStan
 
Тимур Юнусов (Россия), Positive Technologies. Уязвимости банкоматов
KazHackStan
 
Антон Bo0oM Лопаницын (Россия), OnSec. Трекинг. Как узнать посетителя, если о...
KazHackStan
 
Омар Ганиев (Россия). Обзор атак на модели машинного обучения
KazHackStan
 
Валерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
KazHackStan
 
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
KazHackStan
 
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
KazHackStan
 
Ярослав Бабин (Россия), Positive Technologies. Основные аспекты при проведени...
KazHackStan
 
Виталий Трахтенберг (Израиль), MER Group. Кейс по кибер-расследованию для одн...
KazHackStan
 
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
KazHackStan
 
Батыржан Тютеев (Казахстан), ЦАРКА. Уязвимости Казнета
KazHackStan
 
Максим Ефименко (Казахстан), ЦАРКА. Двойное проникновение
KazHackStan
 
Сергей Харюк (Украина). Проверка безопасности приложений на платформе iOS
KazHackStan
 
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
KazHackStan
 
Ярослав Бабин (Россия), Positive Technologies. Основные аспекты при проведени...
KazHackStan
 
Ильяс Аринов (Казахстан), ЦАРКА. Linux for newbie hackers
KazHackStan
 
Презентация НИТ
KazHackStan
 
Дмитрий Кузнецов. Опыт РФ в обеспечении национальной кибербезопасности
KazHackStan
 

Сергей Белов (Россия), Mail.ru. Temple of Bug Bounty: Leveling & Farming

  • 1. Сергей Белов, Mail.Ru Group Temple of Bug Bounty: Leveling & Farming
  • 2. $ whoami • @sergeybelove • Head of AppSec @ Mail.Ru Group • ZeroNights team since 2013
  • 3. SSRF CSRF XSS postMessage leak Open Redirect IDOR Insecure random CSP bypass CORS leak
  • 4. SSRF CSRF XSS postMessage leak Open Redirect IDOR Insecure random CSP bypass CORS leak
  • 5. Bug bounty Bug Bounty - программы вознаграждения за найденные уязвимости. 1) hackerone.com - самая популярная площадка 2) bugcrowd.com 3) Собственные системы Mail.Ru Group - 5 программ: • https://hackerone.com/mailru • https://hackerone.com/icq • https://hackerone.com/vkcom • https://hackerone.com/ok • http://corp.wamba.com/en/developer/security/
  • 6. Bug bounty Статистика (Mail.Ru): • Репортов с выплатами — 590 • Всего выплатили ~ $200,000 • Средняя выплата — $335 • Среднее время ответа — 22 часа
  • 7. Bug bounty Workflow: 1. Новая уязвимость 2. В скоупе? Хватает информации? 3. Подтверждение (или нет) уязвимости 4. Экспорт AS IS в Jira (проект HackerOne) 5. Тикет переформлируется и загоняется в проект нужного продукта 6. В ближайшую среду происходит решение по выплате 7. Выкатывается фикс 8. Закрываются два тикета в Jira, тикет на HackerOne
  • 8. Мифы и факты Bug Bounty Миф - получая уязвимости от ресерчеров вы можете легко пробовать их на других сайтах! • Уязвимости в 95% случаев относятся только к данному коду • В 5% ресерчер сам пойдет и сдаст ее на других сайтах :) Вы можете отметить репорт как дубликат/известный и не заплатите! • Нет, в HackerOne есть механизм добавления ресерчера в оригинальный репорт • Это невыгодно в долгосрочной перспективе
  • 9. Bug Bounty & 0 Days Реальная ситуация - присылают 0day уязвимость (server-side) в популярном продукте (доступен извне). Что мы делаем в этом случае: 1) Исправляем у себя (пишем патч сами или закрываем на уровне nginx) 2) Сообщаем вендору, указывая что эту уязвимость нам прислал такой-то ресерчер на HackerOne 3) Выплачиваем ресерчеру вознаграждение
  • 10. Bug Bounty & 0 Days Тренд: • Ресечеры находят 0day • Репортят вендору и параллельно, в тот же день, во все Bug Bounty, где это применимо (не дожидаясь фикса) • Собирают $$$
  • 11. Bug Bounty & 0 Days https://hackerone.com/reports/251732
  • 12. Bug Bounty & 0 Days Будьте внимательны! • Ресерчер нашел уязвимость • В ходе разбирательства стало понятно, что уязвимость в чужом решении (ресерчер не знал об этом) • Мы сообщили об этом вендору, у вендора есть Bug Bounty • Так как данные об уязвимости известны “3rd party persons” вознаграждение вендор не выплачивает • Мы выплачиваем ресерчеру стандартное баунти (но теряется от вендора)
  • 13. Истории Если нам сообщают возможность брутфорса аккаунтов: • Мы даем логин example@mail.ru и указываем пароль в виде PassXXX, где XXX - три цифры • Ресерчер должен сбрутить их Ресерчер вручную почти сутки вводил капчу вручную и “сбрутил” тестовый аккаунт :)
  • 14. Истории XXE: 1) Пользователь загружает изображения 2) Сайт пытается определить тип изображения и его размеры (разрешены .jpeg / .png) 3) Ресерчер заменил картинку на SVG с XXE 4) Image::Info пытается определить свойства и юзает старую версию libxml 5) pwned
  • 15. Истории 1) Студент развернул свой проект на хостинге 2) Запустил сервис, где без авторизации можно исполнять команды ОС 3) Это нашел ресерчер на HackerOne Out of scope, но выплатили $300, т.к. проблема может затрагивать безопасность инфраструктуры.
  • 16. Истории Доказываем баг вендору в сложных условиях - https://xakep.ru/2014/10/20/difficult- bug-bounty/ Self XSS важны, так как: • Завтра может стать не Self • Разработчик ошибается при реализации фич • Если Stored - чаще всего есть векторы, как это проэксплуатировать (Login CSRF)
  • 18. Развитие Bug Bounty • Повышали выплаты 22/06/2017 (Server Side) - RCE $3000 => $7000, LFR, RFI, XXE): $2000 => $5000, Injections $2000 => $5000 • Присоединились к Google Play Bug Bounty (+$1000 за критичные уязвимости в Android приложениях - Почта, Облако, TOTP, Календарь) • Работаем над инвайтом ресерчеров для тестирования фич до релиза Принимайте участие ;)
  • 19. Stay secure & keep hacking s.belov@corp.mail.ru @sergeybelove