SlideShare uma empresa Scribd logo

Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин

Mail.ru Group
Mail.ru Group

Зачем нужна и не нужна баг-баунти, что происходит после того, как вы отправляете баг-репорт и как все это вписывается во внутренние процессы.

Tecnologia
1 de 28
Baixar para ler offline
Дубровин Владимир как это выглядит изнутри Другая сторона баг- баунти программы 15.02.2020
https://hackerone.com/mailru/
Примерные оплаты за Critical / High / Medium / Low уязвимости Tier 1: Main Scope / dedicated BB programs: $20,000 / $5,000 / $1,000 / $200 Tier 2 (extended): Ext A: ~в 2-3 раза меньше основного скопа Ext B: ~в 6-8 раз меньше основного скопа Tier 3 (external/outside): Ext O: ~ в 10-20 раз меньше основного скопа Скопы / тайеры
Команда Mail.ru на H1выглядит так
Так выглядит команда с обратной стороны экрана
Как выглядит bug bounty для хакера
Как выглядит bug bounty для хакера
Зачем это хакерам
Как выглядит workflow у хакера* New – свежий репорт N/A – не приняли L сказали что не баг Informative – не приняли L сказали что-то есть, на security bug не тянет Need More Info – не врубились L что-то спрашивают Triaged – репорт приняли (и не развернули!) (но еще не факт) … $$$$$$ – Profit!!! Closed – Пофиксили Disclosed – О, можно в twitter написать * Для запуска этого workflow надо всего лишь найти баг
Как выглядит bug bounty для хакера Bug bounty – поиск багов
Bug bounty – не поиск багов Как выглядит bug bounty с изнанки
Как выглядит bug bounty с изнанки
New • Уведомление о возможных критических уязвимостях: – Отправить СМС • Понять является ли поведение ошибочным • Определить, имеется ли импакт для безопасности • Определить является ли проблема критической • Попадает ли проблема в скоп программы • Попадает ли проблема под выплату вознаграждения • Сообщить репортеру результат предварительного анализа или запросить у него демонстрацию импакта • Проставить предварительную оценку класса уязвимости, scope, severity • Затриаджить и уведомить репортера о дальнейших шагах, уведомить если репорт не попадает под программу денежного вознаграждения * для запуска этого workflow надо сначала получить багрепорт Как выглядит workflow с изнанки*
Triaged • Импорт бага в багтрекер • Назначение аналитику • Валидация аналитиком, воспроизведение, исследование, уточнение условий • Постановка продуктовых задач • Уведомление о критических уязвимостях/инцидентах: – Команда безопасности – Продуктовые команды / эксплуатация – Техническое руководство проекта/компании Как выглядит workflow с изнанки
Triaged • Определить критичность, затронутые компоненты, классифицировать скомпрометированные данные, выявить возможные инциденты, ознакомиться с BCP • Назначить и выплатить баунти • Взаимодействовать с менеджерами, разработчиками и системными администраторами • Взаимодействовать с партнерам • Взаимодействовать с внешними outsource, opensource разработчиками Как выглядит workflow с изнанки
Vector -> Vulnerability -> Bug -> Root cause (лирическое отступление)
Triaged • Vector -> Vulnerability -> Bug -> Root cause • Mitigation • Fix и устранение root cause • Валидация фикса • Идентификация и устранение похожих проблем • Внесение изменений в сканеры, параметры, регламенты, руководства, практики, workflow Как выглядит workflow с изнанки
Fixed • Довести до логического конца инициированные разовые процессы • Подготовить информацию к раскрытию: – написать summary – уточнить итоговый severity и классификацию (CVSS) – выбрать режим раскрытия – вычистить сенситивную информацию при полном раскрытии – запросить раскрытие у ресерчера – уведомить вендоров и/или community если бага в стороннем продукте Как выглядит workflow с изнанки
• Можно выкупить баги с черного рынка • Защищает от репутационных рисков и шантажа • Заменяет процесс тестирования безопасности • Заменяет команды разного цвета и pentest’ы сторонними организациями • Можно сказать «у нас все безопасно, потому что мы много платим за баги» И вообще замечательный самостоятельный процесс Зачем это продукту
• Работа с community (весьма специфичным) • Оценка уровня защищенности для некоторых векторов • Выявление слепых пятен в процессах ИБ и не только • Повышение практических навыков безопасников, разработчиков, системных инженеров • Получение сведений о новых векторах атаки и иногда 0-day уязвимостях • Повышение уровня безопасности, защищенности пользователей и качества продукта за счет изменения внутренних и внешних представлений, процессов и подходов Приносит пользу только при интеграции в другие процессы Зачем это продукту (на самом деле)
Наблюдения
• Бюджетирование и финансовые потоки • Определение готовности к запуску bug bounty и добавлению новых скопов • Процесс запуска программы и добавления скопов • Поддержка технологической платформы для проведения программы или интеграция внешней платформы • Аутсорс услуг проведения BB внутренний и внешний (bug bounty as a service) • Разработка правил и условий программы • Описание правил и скопов • Ценообразование • Управление параметрами и бюджетом программы • Таргетирование программы Другие процессы под капотом
Если не получается…
Владимир Дубровин dubrovin@corp.mail.ru
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин

Recomendados

Risk-based testing management. От теории к современной практике
Risk-based testing management. От теории к современной практикеRisk-based testing management. От теории к современной практике
Risk-based testing management. От теории к современной практикеSQALab
 
Андрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокАндрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокSQALab
 
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012beched
 
Тестирование как управление рисками продукта
Тестирование как управление рисками продуктаТестирование как управление рисками продукта
Тестирование как управление рисками продуктаSQALab
 
Профилактика дефектов
Профилактика дефектовПрофилактика дефектов
Профилактика дефектовSQALab
 
программное обеспечение процесса тестирования
программное обеспечение процесса тестированияпрограммное обеспечение процесса тестирования
программное обеспечение процесса тестированияDressTester
 
SQA-11 (GSenin-Luxoft+comments)
SQA-11 (GSenin-Luxoft+comments)SQA-11 (GSenin-Luxoft+comments)
SQA-11 (GSenin-Luxoft+comments)Greg Senin
 
Невыносимая переносимость кроссплатформенных приложений на примере десктопных...
Невыносимая переносимость кроссплатформенных приложений на примере десктопных...Невыносимая переносимость кроссплатформенных приложений на примере десктопных...
Невыносимая переносимость кроссплатформенных приложений на примере десктопных...SQALab
 

Recomendados

Risk-based testing management. От теории к современной практике
Risk-based testing management. От теории к современной практикеRisk-based testing management. От теории к современной практике
Risk-based testing management. От теории к современной практикеSQALab
 
Андрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокАндрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокSQALab
 
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012beched
 
Тестирование как управление рисками продукта
Тестирование как управление рисками продуктаТестирование как управление рисками продукта
Тестирование как управление рисками продуктаSQALab
 
Профилактика дефектов
Профилактика дефектовПрофилактика дефектов
Профилактика дефектовSQALab
 
программное обеспечение процесса тестирования
программное обеспечение процесса тестированияпрограммное обеспечение процесса тестирования
программное обеспечение процесса тестированияDressTester
 
SQA-11 (GSenin-Luxoft+comments)
SQA-11 (GSenin-Luxoft+comments)SQA-11 (GSenin-Luxoft+comments)
SQA-11 (GSenin-Luxoft+comments)Greg Senin
 
Невыносимая переносимость кроссплатформенных приложений на примере десктопных...
Невыносимая переносимость кроссплатформенных приложений на примере десктопных...Невыносимая переносимость кроссплатформенных приложений на примере десктопных...
Невыносимая переносимость кроссплатформенных приложений на примере десктопных...SQALab
 
Риски в тестировании
Риски в тестированииРиски в тестировании
Риски в тестированииISsoft
 
SQA Days 19 - Self-dependent QA Assessment - how to start (Самостоятельная оц...
SQA Days 19 - Self-dependent QA Assessment - how to start (Самостоятельная оц...SQA Days 19 - Self-dependent QA Assessment - how to start (Самостоятельная оц...
SQA Days 19 - Self-dependent QA Assessment - how to start (Самостоятельная оц...Andrey Ladutko
 
Sqadays 8-barancev
Sqadays 8-barancevSqadays 8-barancev
Sqadays 8-barancevAlexei Lupan
 
About Testers
About TestersAbout Testers
About Testersantsh
 
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...SQALab
 
ковалев нестандатное нт
ковалев нестандатное нтковалев нестандатное нт
ковалев нестандатное нтAlexei Lupan
 
[Sqa days]risk driven testing
[Sqa days]risk driven testing[Sqa days]risk driven testing
[Sqa days]risk driven testingAlexei Lupan
 
План тестирования
План тестированияПлан тестирования
План тестированияEDISON Software Development Centre
 
Организация приемочного тестирования силами матерых тестировщиков
Организация приемочного тестирования силами матерых тестировщиковОрганизация приемочного тестирования силами матерых тестировщиков
Организация приемочного тестирования силами матерых тестировщиковCOMAQA.BY
 
МАСТЕР-КЛАСС. Риски тестирования
МАСТЕР-КЛАСС. Риски тестированияМАСТЕР-КЛАСС. Риски тестирования
МАСТЕР-КЛАСС. Риски тестированияSQALab
 
Обеспечение качества: Практические советы
Обеспечение качества: Практические советыОбеспечение качества: Практические советы
Обеспечение качества: Практические советыSQALab
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
лившиц владимир - независимое тестирование миф
лившиц владимир - независимое тестирование мифлившиц владимир - независимое тестирование миф
лившиц владимир - независимое тестирование мифMagneta AI
 
Requirements, введение в bug tracking systems.
Requirements, введение в bug tracking systems.Requirements, введение в bug tracking systems.
Requirements, введение в bug tracking systems.DressTester
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Alexei Lupan
 
Static testing
Static testingStatic testing
Static testingQA Guards
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Sqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmSqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmAlexei Lupan
 
тестирование снецифических областей
тестирование снецифических областейтестирование снецифических областей
тестирование снецифических областейDressTester
 
Дефекты при тестировании ПО
Дефекты при тестировании ПОДефекты при тестировании ПО
Дефекты при тестировании ПОSergey Chuburov
 
Пара слов о рисках
Пара слов о рискахПара слов о рисках
Пара слов о рискахMikhail Payson
 

Mais conteúdo relacionado

Mais procurados

Риски в тестировании
Риски в тестированииРиски в тестировании
Риски в тестированииISsoft
 
SQA Days 19 - Self-dependent QA Assessment - how to start (Самостоятельная оц...
SQA Days 19 - Self-dependent QA Assessment - how to start (Самостоятельная оц...SQA Days 19 - Self-dependent QA Assessment - how to start (Самостоятельная оц...
SQA Days 19 - Self-dependent QA Assessment - how to start (Самостоятельная оц...Andrey Ladutko
 
Sqadays 8-barancev
Sqadays 8-barancevSqadays 8-barancev
Sqadays 8-barancevAlexei Lupan
 
About Testers
About TestersAbout Testers
About Testersantsh
 
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...SQALab
 
ковалев нестандатное нт
ковалев нестандатное нтковалев нестандатное нт
ковалев нестандатное нтAlexei Lupan
 
[Sqa days]risk driven testing
[Sqa days]risk driven testing[Sqa days]risk driven testing
[Sqa days]risk driven testingAlexei Lupan
 
Организация приемочного тестирования силами матерых тестировщиков
Организация приемочного тестирования силами матерых тестировщиковОрганизация приемочного тестирования силами матерых тестировщиков
Организация приемочного тестирования силами матерых тестировщиковCOMAQA.BY
 
МАСТЕР-КЛАСС. Риски тестирования
МАСТЕР-КЛАСС. Риски тестированияМАСТЕР-КЛАСС. Риски тестирования
МАСТЕР-КЛАСС. Риски тестированияSQALab
 
Обеспечение качества: Практические советы
Обеспечение качества: Практические советыОбеспечение качества: Практические советы
Обеспечение качества: Практические советыSQALab
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
лившиц владимир - независимое тестирование миф
лившиц владимир - независимое тестирование мифлившиц владимир - независимое тестирование миф
лившиц владимир - независимое тестирование мифMagneta AI
 
Requirements, введение в bug tracking systems.
Requirements, введение в bug tracking systems.Requirements, введение в bug tracking systems.
Requirements, введение в bug tracking systems.DressTester
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Alexei Lupan
 
Static testing
Static testingStatic testing
Static testingQA Guards
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Sqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmSqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmAlexei Lupan
 
тестирование снецифических областей
тестирование снецифических областейтестирование снецифических областей
тестирование снецифических областейDressTester
 

Mais procurados (20)

Риски в тестировании
Риски в тестированииРиски в тестировании
Риски в тестировании
 
SQA Days 19 - Self-dependent QA Assessment - how to start (Самостоятельная оц...
SQA Days 19 - Self-dependent QA Assessment - how to start (Самостоятельная оц...SQA Days 19 - Self-dependent QA Assessment - how to start (Самостоятельная оц...
SQA Days 19 - Self-dependent QA Assessment - how to start (Самостоятельная оц...
 
Sqadays 8-barancev
Sqadays 8-barancevSqadays 8-barancev
Sqadays 8-barancev
 
About Testers
About TestersAbout Testers
About Testers
 
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
 
ковалев нестандатное нт
ковалев нестандатное нтковалев нестандатное нт
ковалев нестандатное нт
 
[Sqa days]risk driven testing
[Sqa days]risk driven testing[Sqa days]risk driven testing
[Sqa days]risk driven testing
 
План тестирования
План тестированияПлан тестирования
План тестирования
 
Организация приемочного тестирования силами матерых тестировщиков
Организация приемочного тестирования силами матерых тестировщиковОрганизация приемочного тестирования силами матерых тестировщиков
Организация приемочного тестирования силами матерых тестировщиков
 
МАСТЕР-КЛАСС. Риски тестирования
МАСТЕР-КЛАСС. Риски тестированияМАСТЕР-КЛАСС. Риски тестирования
МАСТЕР-КЛАСС. Риски тестирования
 
Обеспечение качества: Практические советы
Обеспечение качества: Практические советыОбеспечение качества: Практические советы
Обеспечение качества: Практические советы
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
лившиц владимир - независимое тестирование миф
лившиц владимир - независимое тестирование мифлившиц владимир - независимое тестирование миф
лившиц владимир - независимое тестирование миф
 
Requirements, введение в bug tracking systems.
Requirements, введение в bug tracking systems.Requirements, введение в bug tracking systems.
Requirements, введение в bug tracking systems.
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)
 
Static testing
Static testingStatic testing
Static testing
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
 
Sqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmSqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstm
 
тестирование снецифических областей
тестирование снецифических областейтестирование снецифических областей
тестирование снецифических областей
 

Semelhante a Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин

Дефекты при тестировании ПО
Дефекты при тестировании ПОДефекты при тестировании ПО
Дефекты при тестировании ПОSergey Chuburov
 
Пара слов о рисках
Пара слов о рискахПара слов о рисках
Пара слов о рискахMikhail Payson
 
Continious integration-Automated Testing-Solid-Agile
Continious integration-Automated Testing-Solid-AgileContinious integration-Automated Testing-Solid-Agile
Continious integration-Automated Testing-Solid-AgileKairat Yussupov
 
Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"Grigoriy Orlov
 
День ADV на Russian Digital Week: Тестирование как часть технологического про...
День ADV на Russian Digital Week: Тестирование как часть технологического про...День ADV на Russian Digital Week: Тестирование как часть технологического про...
День ADV на Russian Digital Week: Тестирование как часть технологического про...ADV/web-engineering
 
Внедрение тестирования в Scrum
Внедрение тестирования в ScrumВнедрение тестирования в Scrum
Внедрение тестирования в ScrumDenis Petelin
 
Внедрение тестирования в Scrum
Внедрение тестирования в ScrumВнедрение тестирования в Scrum
Внедрение тестирования в ScrumDenis Petelin
 
Илья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru Group
Илья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru GroupИлья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru Group
Илья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru GroupMail.ru Group
 
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUAREТехники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARESQALab
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Expolink
 
Поддержка высоконагруженного проекта: мониторинг, резервирование, обслуживани...
Поддержка высоконагруженного проекта: мониторинг, резервирование, обслуживани...Поддержка высоконагруженного проекта: мониторинг, резервирование, обслуживани...
Поддержка высоконагруженного проекта: мониторинг, резервирование, обслуживани...Ontico
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
Лучшие практики исполнения проекта в соответствии с методологией IBM Rational
Лучшие практики исполнения проекта в соответствии с методологией IBM RationalЛучшие практики исполнения проекта в соответствии с методологией IBM Rational
Лучшие практики исполнения проекта в соответствии с методологией IBM RationalLuxoftTraining
 
Как сделать наши проекты немного более управляемыми с Agile
Как сделать наши проекты немного более управляемыми с AgileКак сделать наши проекты немного более управляемыми с Agile
Как сделать наши проекты немного более управляемыми с AgileAlexey Krivitsky
 
Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...
Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...
Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...Badoo Development
 
AzovDevMeetup 2016 | Zero downtime — как релизить продукт миллионам пользоват...
AzovDevMeetup 2016 | Zero downtime — как релизить продукт миллионам пользоват...AzovDevMeetup 2016 | Zero downtime — как релизить продукт миллионам пользоват...
AzovDevMeetup 2016 | Zero downtime — как релизить продукт миллионам пользоват...JSC “Arcadia Inc”
 
23may 1300 valday антон сапожников 'еще один недостаток современных клиент се...
23may 1300 valday антон сапожников 'еще один недостаток современных клиент се...23may 1300 valday антон сапожников 'еще один недостаток современных клиент се...
23may 1300 valday антон сапожников 'еще один недостаток современных клиент се...Positive Hack Days
 

Semelhante a Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин (20)

Дефекты при тестировании ПО
Дефекты при тестировании ПОДефекты при тестировании ПО
Дефекты при тестировании ПО
 
Пара слов о рисках
Пара слов о рискахПара слов о рисках
Пара слов о рисках
 
Continious integration-Automated Testing-Solid-Agile
Continious integration-Automated Testing-Solid-AgileContinious integration-Automated Testing-Solid-Agile
Continious integration-Automated Testing-Solid-Agile
 
Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"
 
День ADV на Russian Digital Week: Тестирование как часть технологического про...
День ADV на Russian Digital Week: Тестирование как часть технологического про...День ADV на Russian Digital Week: Тестирование как часть технологического про...
День ADV на Russian Digital Week: Тестирование как часть технологического про...
 
Внедрение тестирования в Scrum
Внедрение тестирования в ScrumВнедрение тестирования в Scrum
Внедрение тестирования в Scrum
 
Внедрение тестирования в Scrum
Внедрение тестирования в ScrumВнедрение тестирования в Scrum
Внедрение тестирования в Scrum
 
Илья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru Group
Илья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru GroupИлья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru Group
Илья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru Group
 
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUAREТехники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
 
Load testing with Tsung
Load testing with TsungLoad testing with Tsung
Load testing with Tsung
 
Qt tool evaluation
Qt tool evaluationQt tool evaluation
Qt tool evaluation
 
Seamy side of autotests
Seamy side of autotestsSeamy side of autotests
Seamy side of autotests
 
Поддержка высоконагруженного проекта: мониторинг, резервирование, обслуживани...
Поддержка высоконагруженного проекта: мониторинг, резервирование, обслуживани...Поддержка высоконагруженного проекта: мониторинг, резервирование, обслуживани...
Поддержка высоконагруженного проекта: мониторинг, резервирование, обслуживани...
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
Лучшие практики исполнения проекта в соответствии с методологией IBM Rational
Лучшие практики исполнения проекта в соответствии с методологией IBM RationalЛучшие практики исполнения проекта в соответствии с методологией IBM Rational
Лучшие практики исполнения проекта в соответствии с методологией IBM Rational
 
Как сделать наши проекты немного более управляемыми с Agile
Как сделать наши проекты немного более управляемыми с AgileКак сделать наши проекты немного более управляемыми с Agile
Как сделать наши проекты немного более управляемыми с Agile
 
Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...
Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...
Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...
 
AzovDevMeetup 2016 | Zero downtime — как релизить продукт миллионам пользоват...
AzovDevMeetup 2016 | Zero downtime — как релизить продукт миллионам пользоват...AzovDevMeetup 2016 | Zero downtime — как релизить продукт миллионам пользоват...
AzovDevMeetup 2016 | Zero downtime — как релизить продукт миллионам пользоват...
 
23may 1300 valday антон сапожников 'еще один недостаток современных клиент се...
23may 1300 valday антон сапожников 'еще один недостаток современных клиент се...23may 1300 valday антон сапожников 'еще один недостаток современных клиент се...
23may 1300 valday антон сапожников 'еще один недостаток современных клиент се...
 

Mais de Mail.ru Group

Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...Mail.ru Group
 
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...Mail.ru Group
 
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...Mail.ru Group
 
Управление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон ВикторовУправление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон ВикторовMail.ru Group
 
DAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга СвиридоваDAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга СвиридоваMail.ru Group
 
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...Mail.ru Group
 
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...Mail.ru Group
 
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidiaRAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidiaMail.ru Group
 
WebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоWebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоMail.ru Group
 
AMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей ПешковAMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей ПешковMail.ru Group
 
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила СтрелковКак мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила СтрелковMail.ru Group
 
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...Mail.ru Group
 
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.ТаксиМетапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.ТаксиMail.ru Group
 
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru GroupКак не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru GroupMail.ru Group
 
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)Mail.ru Group
 
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...Mail.ru Group
 
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...Mail.ru Group
 
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)Mail.ru Group
 
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()Mail.ru Group
 
Learning from Swift sources, Иван Сметанин
Learning from Swift sources, Иван СметанинLearning from Swift sources, Иван Сметанин
Learning from Swift sources, Иван СметанинMail.ru Group
 

Mais de Mail.ru Group (20)

Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
 
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
 
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
 
Управление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон ВикторовУправление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон Викторов
 
DAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга СвиридоваDAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга Свиридова
 
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
 
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
 
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidiaRAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
 
WebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоWebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий Остапенко
 
AMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей ПешковAMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей Пешков
 
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила СтрелковКак мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
 
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
 
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.ТаксиМетапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
 
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru GroupКак не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
 
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
 
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
 
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
 
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
 
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
 
Learning from Swift sources, Иван Сметанин
Learning from Swift sources, Иван СметанинLearning from Swift sources, Иван Сметанин
Learning from Swift sources, Иван Сметанин
 

Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин

  • 1. Дубровин Владимир как это выглядит изнутри Другая сторона баг- баунти программы 15.02.2020
  • 3.
  • 4.
  • 5.
  • 6. Примерные оплаты за Critical / High / Medium / Low уязвимости Tier 1: Main Scope / dedicated BB programs: $20,000 / $5,000 / $1,000 / $200 Tier 2 (extended): Ext A: ~в 2-3 раза меньше основного скопа Ext B: ~в 6-8 раз меньше основного скопа Tier 3 (external/outside): Ext O: ~ в 10-20 раз меньше основного скопа Скопы / тайеры
  • 8. Так выглядит команда с обратной стороны экрана
  • 10. Как выглядит bug bounty для хакера
  • 12. Как выглядит workflow у хакера* New – свежий репорт N/A – не приняли L сказали что не баг Informative – не приняли L сказали что-то есть, на security bug не тянет Need More Info – не врубились L что-то спрашивают Triaged – репорт приняли (и не развернули!) (но еще не факт) … $$$$$$ – Profit!!! Closed – Пофиксили Disclosed – О, можно в twitter написать * Для запуска этого workflow надо всего лишь найти баг
  • 13. Как выглядит bug bounty для хакера Bug bounty – поиск багов
  • 14. Bug bounty – не поиск багов Как выглядит bug bounty с изнанки
  • 15. Как выглядит bug bounty с изнанки
  • 16. New • Уведомление о возможных критических уязвимостях: – Отправить СМС • Понять является ли поведение ошибочным • Определить, имеется ли импакт для безопасности • Определить является ли проблема критической • Попадает ли проблема в скоп программы • Попадает ли проблема под выплату вознаграждения • Сообщить репортеру результат предварительного анализа или запросить у него демонстрацию импакта • Проставить предварительную оценку класса уязвимости, scope, severity • Затриаджить и уведомить репортера о дальнейших шагах, уведомить если репорт не попадает под программу денежного вознаграждения * для запуска этого workflow надо сначала получить багрепорт Как выглядит workflow с изнанки*
  • 17. Triaged • Импорт бага в багтрекер • Назначение аналитику • Валидация аналитиком, воспроизведение, исследование, уточнение условий • Постановка продуктовых задач • Уведомление о критических уязвимостях/инцидентах: – Команда безопасности – Продуктовые команды / эксплуатация – Техническое руководство проекта/компании Как выглядит workflow с изнанки
  • 18. Triaged • Определить критичность, затронутые компоненты, классифицировать скомпрометированные данные, выявить возможные инциденты, ознакомиться с BCP • Назначить и выплатить баунти • Взаимодействовать с менеджерами, разработчиками и системными администраторами • Взаимодействовать с партнерам • Взаимодействовать с внешними outsource, opensource разработчиками Как выглядит workflow с изнанки
  • 19. Vector -> Vulnerability -> Bug -> Root cause (лирическое отступление)
  • 20. Triaged • Vector -> Vulnerability -> Bug -> Root cause • Mitigation • Fix и устранение root cause • Валидация фикса • Идентификация и устранение похожих проблем • Внесение изменений в сканеры, параметры, регламенты, руководства, практики, workflow Как выглядит workflow с изнанки
  • 21. Fixed • Довести до логического конца инициированные разовые процессы • Подготовить информацию к раскрытию: – написать summary – уточнить итоговый severity и классификацию (CVSS) – выбрать режим раскрытия – вычистить сенситивную информацию при полном раскрытии – запросить раскрытие у ресерчера – уведомить вендоров и/или community если бага в стороннем продукте Как выглядит workflow с изнанки
  • 22. • Можно выкупить баги с черного рынка • Защищает от репутационных рисков и шантажа • Заменяет процесс тестирования безопасности • Заменяет команды разного цвета и pentest’ы сторонними организациями • Можно сказать «у нас все безопасно, потому что мы много платим за баги» И вообще замечательный самостоятельный процесс Зачем это продукту
  • 23. • Работа с community (весьма специфичным) • Оценка уровня защищенности для некоторых векторов • Выявление слепых пятен в процессах ИБ и не только • Повышение практических навыков безопасников, разработчиков, системных инженеров • Получение сведений о новых векторах атаки и иногда 0-day уязвимостях • Повышение уровня безопасности, защищенности пользователей и качества продукта за счет изменения внутренних и внешних представлений, процессов и подходов Приносит пользу только при интеграции в другие процессы Зачем это продукту (на самом деле)
  • 25. • Бюджетирование и финансовые потоки • Определение готовности к запуску bug bounty и добавлению новых скопов • Процесс запуска программы и добавления скопов • Поддержка технологической платформы для проведения программы или интеграция внешней платформы • Аутсорс услуг проведения BB внутренний и внешний (bug bounty as a service) • Разработка правил и условий программы • Описание правил и скопов • Ценообразование • Управление параметрами и бюджетом программы • Таргетирование программы Другие процессы под капотом