Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"SDLC, Bug Bounty и разбор фильтров", Сергей Бе...

OWASP Moscow
March 05, 2018
Technology
0
190

"SDLC, Bug Bounty и разбор фильтров", Сергей Белов, Mail.Ru Group

OWASP Russia MeetUp #7

OWASP Moscow

March 05, 2018
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
420
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
600
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
850
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
560
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
owaspmoscow
0
470
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
540
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
owaspmoscow
0
530
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
470
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
460

Other Decks in Technology

See All in Technology
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.1k
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
12k
複雑なState管理からの脱却
sansantech
PRO
1
130
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
120
地理情報データをデータベースに格納しよう~ GPUを活用した爆速データベース PG-Stromの紹介 ~
sakaik
1
150
マルチモーダル / AI Agent / LLMOps 3つの技術トレンドで理解するLLMの今後の展望
hirosatogamo
37
12k
データプロダクトの定義からはじめる、データコントラクト駆動なデータ基盤
chanyou0311
2
270
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
150
ノーコードデータ分析ツールで体験する時系列データ分析超入門
negi111111
0
410
Platform Engineering for Software Developers and Architects
syntasso
1
510
DMARC 対応の話 - MIXI CTO オフィスアワー #04
bbqallstars
1
160

Featured

See All Featured
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
24k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Building Adaptive Systems
keathley
38
2.3k
A better future with KSS
kneath
238
17k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
BBQ
matthewcrist
85
9.3k
A Tale of Four Properties
chriscoyier
156
23k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k

Transcript

  1. И РАЗБОР ФИЛЬТРОВ SDLC, BUG BOUNTY СЕРГЕЙ БЕЛОВ MAIL.RU GROUP

    OWASP RUSSIA MEETUP 05.03.2018

  2. ПЛАН • Разработка новых фич • Поэтапные выкатки и bug

    bounty • Разбор фильтров и работа с уязвимостями

  3. РАЗРАБОТКА НОВЫХ ФИЧ

  4. И ЕЕ ЖИЗНЕННЫЙ ЦИКЛ НОВАЯ ФИЧА Её можно делать? ✦

    Нет - закрываем разработку ✦ Да - оцениваем, проговариваем риски и думаем, кого она задевает (другие продукты и отделы) Фичу нужно тестировать отделом безопасности? ✦ Нет - добавляем тесткейсы в тикет, заберет и сделает отдел QA ✦ Да - ставим метку "Тестирование безопасности". Фича не выкатывается без аппрува безопасности

  5. ПЕРЕГОВОРКА

  6. JIRA - НОВЫЙ ТАСК

  7. СТОРОНА ОТДЕЛА БЕЗОПАСНОСТИ • Новый аудит на фичу? Заводим таск

    в проекте Information Security • Назначается ответственный, связывается с таском фичи в проекте Mail • Все уязвимости заводятся в проекте разработки, с обратной связкой с таском в проекте Information Security Это позволяет найти все аудиты и неисправленные уязвимости, если такие есть

  8. СТОРОНА РАЗРАБОТКИ И QA Тестирование принесет замечательные баги, особенно при

    упоре на «негативные» тесты (QA MeetUp от 06 июля 2017, Нижний Новгород) • Нужны XSS? Возьмите автотесты https://github.com/cure53/ DOMPurify • Нужны IDOR? Пропишите в таске нужные сценарии • Тайминги, экспайры? Пишите все в таск

  9. СТОРОНА РАЗРАБОТКИ И QA Разработка может сама поискать у себя

    баги. Передать AFL - мегаудобно, разработчики сами подменят stdin, не надо тратить время на развертывание окружения и т.п. Можно посмотреть доклад - “Расширяем инструментарий — тулзы пентестеров в разработке и тестировании” на CodeFest 2016

  10. ПОЭТАПНЫЕ ВЫКАТКИ И BUG BOUNTY

  11. ПОЭТАПНЫЕ ВЫКАТКИ • Выкатка на определенные почтовые ящики • Выкатка

    на % • Выкатка на пользователей нужного домена (@mail.ru, @bk.ru, @example.com) • Выкатка на бета-юзеров
  12. None
  13. None
  14. None

  15. BUG BOUNTY • Баг хантеры вступают в бета-тестирование • Присылают

    баги и мы за них платим :-) Следующий этап - выкатка фич на баг-хантеров до бета юзеров

  16. РАЗБОР ФИЛЬТРОВ

  17. РАЗБОР ФИЛЬТРОВ ТИКЕТ НА HACKERONE ТИКЕТ В HKRN (JIRA) ТИКЕТ

    В PROJECT_NAME (JIRA) Triaged New New ТИКЕТ НА HACKERONE ТИКЕТ В HKRN (JIRA) ТИКЕТ В PROJECT_NAME (JIRA) Triaged New Fixed ТИКЕТ НА HACKERONE ТИКЕТ В HKRN (JIRA) ТИКЕТ В PROJECT_NAME (JIRA) Triaged Fixed Fixed ТИКЕТ НА HACKERONE ТИКЕТ В HKRN (JIRA) ТИКЕТ В PROJECT_NAME (JIRA) Closed Fixed Fixed

  18. РАЗБОР ФИЛЬТРОВ Пример запроса на поиск открытых тикетов: project in

    (MAIL) AND issueFunction in linkedIssuesOf("project in (HKRN,’IS',scan) AND status in (work,new,confirmed, ready) ", "depends on”) AND status not in (closed, done, released)

  19. BUG BOUNTY

  20. РАЗБОР ФИЛЬТРОВ Двойная (или тройная) линковка тикетов позволяет “не забыть”

    про таски и отхендлить их до победного в любом процессе (bug bounty, аудиты, сканирования, улучшения)

  21. [email protected] @sergeybelove