"SDLC, Bug Bounty и разбор фильтров", Сергей Белов, Mail.Ru Group

"SDLC, Bug Bounty и разбор фильтров", Сергей Белов, Mail.Ru Group

OWASP Russia MeetUp #7

47a3212bc9721c62f1135ead56569f17?s=128

OWASP Moscow

March 05, 2018
Tweet

Transcript

  1. И РАЗБОР ФИЛЬТРОВ SDLC, BUG BOUNTY СЕРГЕЙ БЕЛОВ MAIL.RU GROUP

    OWASP RUSSIA MEETUP 05.03.2018
  2. ПЛАН • Разработка новых фич • Поэтапные выкатки и bug

    bounty • Разбор фильтров и работа с уязвимостями
  3. РАЗРАБОТКА НОВЫХ ФИЧ

  4. И ЕЕ ЖИЗНЕННЫЙ ЦИКЛ НОВАЯ ФИЧА Её можно делать? ✦

    Нет - закрываем разработку ✦ Да - оцениваем, проговариваем риски и думаем, кого она задевает (другие продукты и отделы) Фичу нужно тестировать отделом безопасности? ✦ Нет - добавляем тесткейсы в тикет, заберет и сделает отдел QA ✦ Да - ставим метку "Тестирование безопасности". Фича не выкатывается без аппрува безопасности
  5. ПЕРЕГОВОРКА

  6. JIRA - НОВЫЙ ТАСК

  7. СТОРОНА ОТДЕЛА БЕЗОПАСНОСТИ • Новый аудит на фичу? Заводим таск

    в проекте Information Security • Назначается ответственный, связывается с таском фичи в проекте Mail • Все уязвимости заводятся в проекте разработки, с обратной связкой с таском в проекте Information Security Это позволяет найти все аудиты и неисправленные уязвимости, если такие есть
  8. СТОРОНА РАЗРАБОТКИ И QA Тестирование принесет замечательные баги, особенно при

    упоре на «негативные» тесты (QA MeetUp от 06 июля 2017, Нижний Новгород) • Нужны XSS? Возьмите автотесты https://github.com/cure53/ DOMPurify • Нужны IDOR? Пропишите в таске нужные сценарии • Тайминги, экспайры? Пишите все в таск
  9. СТОРОНА РАЗРАБОТКИ И QA Разработка может сама поискать у себя

    баги. Передать AFL - мегаудобно, разработчики сами подменят stdin, не надо тратить время на развертывание окружения и т.п. Можно посмотреть доклад - “Расширяем инструментарий — тулзы пентестеров в разработке и тестировании” на CodeFest 2016
  10. ПОЭТАПНЫЕ ВЫКАТКИ И BUG BOUNTY

  11. ПОЭТАПНЫЕ ВЫКАТКИ • Выкатка на определенные почтовые ящики • Выкатка

    на % • Выкатка на пользователей нужного домена (@mail.ru, @bk.ru, @example.com) • Выкатка на бета-юзеров
  12. None
  13. None
  14. None
  15. BUG BOUNTY • Баг хантеры вступают в бета-тестирование • Присылают

    баги и мы за них платим :-) Следующий этап - выкатка фич на баг-хантеров до бета юзеров
  16. РАЗБОР ФИЛЬТРОВ

  17. РАЗБОР ФИЛЬТРОВ ТИКЕТ НА HACKERONE ТИКЕТ В HKRN (JIRA) ТИКЕТ

    В PROJECT_NAME (JIRA) Triaged New New ТИКЕТ НА HACKERONE ТИКЕТ В HKRN (JIRA) ТИКЕТ В PROJECT_NAME (JIRA) Triaged New Fixed ТИКЕТ НА HACKERONE ТИКЕТ В HKRN (JIRA) ТИКЕТ В PROJECT_NAME (JIRA) Triaged Fixed Fixed ТИКЕТ НА HACKERONE ТИКЕТ В HKRN (JIRA) ТИКЕТ В PROJECT_NAME (JIRA) Closed Fixed Fixed
  18. РАЗБОР ФИЛЬТРОВ Пример запроса на поиск открытых тикетов: project in

    (MAIL) AND issueFunction in linkedIssuesOf("project in (HKRN,’IS',scan) AND status in (work,new,confirmed, ready) ", "depends on”) AND status not in (closed, done, released)
  19. BUG BOUNTY

  20. РАЗБОР ФИЛЬТРОВ Двойная (или тройная) линковка тикетов позволяет “не забыть”

    про таски и отхендлить их до победного в любом процессе (bug bounty, аудиты, сканирования, улучшения)
  21. s.belov@corp.mail.ru @sergeybelove