Онлайн
Alvaros
.
- Регистрация
- 14.05.16
- Сообщения
- 21.452
- Реакции
- 101
- Репутация
- 204
Мы запустили публичную bug bounty программу на HackerOne — теперь за найденные на сайте Ozon уязвимости можно получить вознаграждение, а заодно помочь компании, сервисом которой пользуются друзья, знакомые и родственники. В этой статье команда информационной безопасности Ozon отвечает на самые популярные вопросы о программе.
Какие ресурсы Ozon участвуют в программе?
Пока только основной сайт, но мы планируем подключать и другие сервисы.
Сколько платим за найденные баги?
В каждом отдельном случае размер вознаграждения зависит от критичности уязвимости, качества отчета и других критериев — в конечном итоге мы определяем его индивидуально. Подробности можно узнать
You must be registered for see links
.Кому-то уже заплатили?
Да, в марте программа стартовала в закрытом режиме, и порядка 360 000 рублей мы уже заплатили исследователям.
Первый репорт мы получили от
You must be registered for see links
в тогда ещё приватной программе, об отсутствии защиты от атак вида CSRF. У нас действительно не используется классический способ защиты от подобных атак в виде т.н. CSRF-токена, которым подписывается соответствующий запрос (см.
You must be registered for see links
), мы сделали ставку на относительно новый, но уже достаточно давно поддерживаемый всеми основными браузерами, механизм маркировки сессионных кук атрибутом
You must be registered for see links
. Его суть в том, что такая сессионная кука перестает передаваться (в зависимости от значения атрибута) при обычных межсайтовых запросах. Таким образом решается изначальная причина, приводящая к CSRF. Проблема для нас оказалась в том, что сессионная кука также менялась и на стороне браузера в JavaScript (да-да, это само по себе плохо и совсем скоро избавимся от этого) и там этот атрибут сбрасывался, выключая таким образом защиту — и вот это оказалось для нас неприятным сюрпризом, а исследователю пришлось приложить усилия, чтобы доказать нам с помощью PoC и видео, существование проблемы. За что ему отдельное спасибо!Почему сразу не запустились в публичном доступе?
Классическая история для практически всех bug bounty программ — первая волна репортов, которая накрывает команду безопасности. При этом важно держать допустимый SLA по ответам и вообще реакции в репортах. Поэтому мы решили запускаться сначала в приватном режиме, постепенно увеличивая количество приглашенных исследователей и отлаживая соответствующие внутренние процессы.
Теперь Ozon сам безопасностью заниматься не намерен?
Наоборот — мы
You must be registered for see links
и планируем не только активнее работать с сообществом хакеров, но и продолжим выстраивать процессы в рамках S-SDLC, включая: контроль безопасности кода, анализ защищённости сервисов и обучение сотрудников, и даже проводить митапы об инфобезе. Кстати, выступление руководителя группы продуктовой безопасности Тараса Иващенко с предыдущего OWASP митапа можно почитать у нас в блоге. Запасаемся кофе и
You must be registered for see links
!