Илья Агеев, qa lead, badoo, security meetup 4 декабря 2014, mail.ru group
TRANSCRIPT
Bounty-программа в Badooсказ о том, как хакеры нас на уязвимости
проверяли
Илья Агеев #SecurityMeetUp
Кто мы?
- соцсеть для новых знакомств- > 220М пользователей- ~ 50 языков- ~ 3000 серверов- > 100 разработчиков- > 30 тестировщиков
Безопасность - часть процесса- Системные администраторы- Разработчики- Тестировщики- Автоматические инструменты- Сторонние аудиторы (PCI DSS)- Инфраструктура, архитектура, культура работы и
взаимодействия
- Системные администраторы- Разработчики- Тестировщики- Автоматические инструменты- Сторонние аудиторы (PCI DSS)- Инфраструктура, архитектура, культура работы и
взаимодействия
Безопасность - часть процесса
Специалисты-волонтеры
Как мы присуждаем категории
- 5 категорий, в зависимости от потенциального ущерба
- Супер-премия выше £2000
1й этап - месячник безопасности
- ~ 500 заявок с потенциальными угрозами- ~ 50 дубликатов- ~ 150 багов / улучшений / пожеланий- > 50 уязвимостей безопасности- > половины уязвимостей - CSRF
Интересные багиУязвимость в обработке количества Badoo-кредитов при покупке (BSI-13)Автор: AsdКатегория: 5
Misconfiguration при изменении данных профиля (BSI-12)Автор: whitebureauКатегория: 5
CSRF и привязка внешнего аккаунта социальных сетей (BSI-44)Автор: chipikКатегория: 4
Что сделали?
- Научились реагировать в течении нескольких часов- Проект по Анти-CSRF- Пофиксили баги :)
Дальнейшие шаги
- Поняли что это хорошо- Другой формат - постоянная программа- Повторный ресерч- Улучшили инструментарий
2-й этап - постоянная программа
- Добавили мобильные приложения и мобильный веб
- Наша программа попала в bugcrowd
2-й этап - постоянная программа
- ~ 870 заявок за год- ~ 50 уязвимостей безопасности- > 30 дубликатов- > 20 багов в мобайле
Интересные багиУязвимость в обработке comet (BSI-329)Автор: maxxartsКатегория: Специальная премия
Выполнение произвольного кода в Android-приложении (addJavascriptInterface) (BSI-601)Автор: secure.doggy.linКатегория: 2
Чтение произвольных файлов Android-приложения (BSI-600)Автор: secure.doggy.linКатегория: 2
Выводы
- Узнали о багах, о которых не знали бы без программы
- На постоянной основе имеем незамыленный взгляд на баги
- У краткосрочной программы другой эффект
Идеи на будущее
- Краткосрочные конкурсы для конкретных платформ (мобайл)
- Англоязычная/мультиязычная программа
Вопросы?http://corp.badoo.com/securityemail: [email protected]: http://habrahabr.ru/company/badoo/blog/facebook: https://www.facebook.com/BadooMoscowtwitter: https://twitter.com/BadooDev