Bounty-программа в Badooсказ о том, как хакеры нас на уязвимости

проверяли

Илья Агеев #SecurityMeetUp

Кто мы?

- соцсеть для новых знакомств- > 220М пользователей- ~ 50 языков- ~ 3000 серверов- > 100 разработчиков- > 30 тестировщиков

Безопасность - часть процесса- Системные администраторы- Разработчики- Тестировщики- Автоматические инструменты- Сторонние аудиторы (PCI DSS)- Инфраструктура, архитектура, культура работы и

взаимодействия

- Системные администраторы- Разработчики- Тестировщики- Автоматические инструменты- Сторонние аудиторы (PCI DSS)- Инфраструктура, архитектура, культура работы и

взаимодействия

Безопасность - часть процесса

Специалисты-волонтеры

Подготовка

- Ресерч- Инфраструктура- Анти-XSS- Внутренний аудит- Инструменты дляобработки заявок

Как мы присуждаем категории

- 5 категорий, в зависимости от потенциального ущерба

- Супер-премия выше £2000

1й этап - месячник безопасности

- ~ 500 заявок с потенциальными угрозами- ~ 50 дубликатов- ~ 150 багов / улучшений / пожеланий- > 50 уязвимостей безопасности- > половины уязвимостей - CSRF

Типы уязвимостей

Распределение заявок

Интересные багиУязвимость в обработке количества Badoo-кредитов при покупке (BSI-13)Автор: AsdКатегория: 5

Misconfiguration при изменении данных профиля (BSI-12)Автор: whitebureauКатегория: 5

CSRF и привязка внешнего аккаунта социальных сетей (BSI-44)Автор: chipikКатегория: 4

Что сделали?

- Научились реагировать в течении нескольких часов- Проект по Анти-CSRF- Пофиксили баги :)

Дальнейшие шаги

- Поняли что это хорошо- Другой формат - постоянная программа- Повторный ресерч- Улучшили инструментарий

Флоу обработки в google-groups

email

form

Jury Development

Dev Rel

Флоу обработки в JIRA

email

form

JIRA Jury Developmentvalidation,auto-emails

2-й этап - постоянная программа

- Добавили мобильные приложения и мобильный веб

- Наша программа попала в bugcrowd

2-й этап - постоянная программа

- ~ 870 заявок за год- ~ 50 уязвимостей безопасности- > 30 дубликатов- > 20 багов в мобайле

Распределение заявок

Интересные багиУязвимость в обработке comet (BSI-329)Автор: maxxartsКатегория: Специальная премия

Выполнение произвольного кода в Android-приложении (addJavascriptInterface) (BSI-601)Автор: secure.doggy.linКатегория: 2

Чтение произвольных файлов Android-приложения (BSI-600)Автор: secure.doggy.linКатегория: 2

Выводы

- Узнали о багах, о которых не знали бы без программы

- На постоянной основе имеем незамыленный взгляд на баги

- У краткосрочной программы другой эффект

Идеи на будущее

- Краткосрочные конкурсы для конкретных платформ (мобайл)

- Англоязычная/мультиязычная программа

Вопросы?http://corp.badoo.com/securityemail: i.ageev@corp.badoo.comhabr: http://habrahabr.ru/company/badoo/blog/facebook: https://www.facebook.com/BadooMoscowtwitter: https://twitter.com/BadooDev