Anúncio
Check these out next
![[Sqa days]risk driven testing](https://cdn.slidesharecdn.com/ss_thumbnails/sqadaysriskdriventesting-101120014814-phpapp02-thumbnail.jpg?width=600&height=600&fit=bounds)
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
19 de Feb de 2020•0 gostou•339 visualizações
0 gostaram
Seja o primeiro a gostar disto
mostrar mais
visualizações
Vistos totais
0
No Slideshare
0
De incorporações
0
Número de incorporações
0
Baixar para ler offline
Denunciar
Tecnologia
Зачем нужна и не нужна баг-баунти, что происходит после того, как вы отправляете баг-репорт и как все это вписывается во внутренние процессы.
Mail.ru GroupSeguir
Mail.ru GroupAnúncio
Anúncio
Anúncio
Recomendados
Risk-based testing management. От теории к современной практикеSQALab
Андрей Уразов - Методы раннего обнаружения ошибокSQALab
Алгоритмы пентестов. BaltCTF 2012beched
Тестирование как управление рисками продуктаSQALab
Профилактика дефектовSQALab
программное обеспечение процесса тестированияDressTester
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
- Дубровин Владимир как это выглядит изнутри Другая сторона баг- баунти программы 15.02.2020
- https://hackerone.com/mailru/
- Примерные оплаты за Critical / High / Medium / Low уязвимости Tier 1: Main Scope / dedicated BB programs: $20,000 / $5,000 / $1,000 / $200 Tier 2 (extended): Ext A: ~в 2-3 раза меньше основного скопа Ext B: ~в 6-8 раз меньше основного скопа Tier 3 (external/outside): Ext O: ~ в 10-20 раз меньше основного скопа Скопы / тайеры
- Команда Mail.ru на H1выглядит так
- Так выглядит команда с обратной стороны экрана
- Как выглядит bug bounty для хакера
- Как выглядит bug bounty для хакера
- Зачем это хакерам
- Как выглядит workflow у хакера* New – свежий репорт N/A – не приняли L сказали что не баг Informative – не приняли L сказали что-то есть, на security bug не тянет Need More Info – не врубились L что-то спрашивают Triaged – репорт приняли (и не развернули!) (но еще не факт) … $$$$$$ – Profit!!! Closed – Пофиксили Disclosed – О, можно в twitter написать * Для запуска этого workflow надо всего лишь найти баг
- Как выглядит bug bounty для хакера Bug bounty – поиск багов
- Bug bounty – не поиск багов Как выглядит bug bounty с изнанки
- Как выглядит bug bounty с изнанки
- New • Уведомление о возможных критических уязвимостях: – Отправить СМС • Понять является ли поведение ошибочным • Определить, имеется ли импакт для безопасности • Определить является ли проблема критической • Попадает ли проблема в скоп программы • Попадает ли проблема под выплату вознаграждения • Сообщить репортеру результат предварительного анализа или запросить у него демонстрацию импакта • Проставить предварительную оценку класса уязвимости, scope, severity • Затриаджить и уведомить репортера о дальнейших шагах, уведомить если репорт не попадает под программу денежного вознаграждения * для запуска этого workflow надо сначала получить багрепорт Как выглядит workflow с изнанки*
- Triaged • Импорт бага в багтрекер • Назначение аналитику • Валидация аналитиком, воспроизведение, исследование, уточнение условий • Постановка продуктовых задач • Уведомление о критических уязвимостях/инцидентах: – Команда безопасности – Продуктовые команды / эксплуатация – Техническое руководство проекта/компании Как выглядит workflow с изнанки
- Triaged • Определить критичность, затронутые компоненты, классифицировать скомпрометированные данные, выявить возможные инциденты, ознакомиться с BCP • Назначить и выплатить баунти • Взаимодействовать с менеджерами, разработчиками и системными администраторами • Взаимодействовать с партнерам • Взаимодействовать с внешними outsource, opensource разработчиками Как выглядит workflow с изнанки
- Vector -> Vulnerability -> Bug -> Root cause (лирическое отступление)
- Triaged • Vector -> Vulnerability -> Bug -> Root cause • Mitigation • Fix и устранение root cause • Валидация фикса • Идентификация и устранение похожих проблем • Внесение изменений в сканеры, параметры, регламенты, руководства, практики, workflow Как выглядит workflow с изнанки
- Fixed • Довести до логического конца инициированные разовые процессы • Подготовить информацию к раскрытию: – написать summary – уточнить итоговый severity и классификацию (CVSS) – выбрать режим раскрытия – вычистить сенситивную информацию при полном раскрытии – запросить раскрытие у ресерчера – уведомить вендоров и/или community если бага в стороннем продукте Как выглядит workflow с изнанки
- • Можно выкупить баги с черного рынка • Защищает от репутационных рисков и шантажа • Заменяет процесс тестирования безопасности • Заменяет команды разного цвета и pentest’ы сторонними организациями • Можно сказать «у нас все безопасно, потому что мы много платим за баги» И вообще замечательный самостоятельный процесс Зачем это продукту
- • Работа с community (весьма специфичным) • Оценка уровня защищенности для некоторых векторов • Выявление слепых пятен в процессах ИБ и не только • Повышение практических навыков безопасников, разработчиков, системных инженеров • Получение сведений о новых векторах атаки и иногда 0-day уязвимостях • Повышение уровня безопасности, защищенности пользователей и качества продукта за счет изменения внутренних и внешних представлений, процессов и подходов Приносит пользу только при интеграции в другие процессы Зачем это продукту (на самом деле)
- Наблюдения
- • Бюджетирование и финансовые потоки • Определение готовности к запуску bug bounty и добавлению новых скопов • Процесс запуска программы и добавления скопов • Поддержка технологической платформы для проведения программы или интеграция внешней платформы • Аутсорс услуг проведения BB внутренний и внешний (bug bounty as a service) • Разработка правил и условий программы • Описание правил и скопов • Ценообразование • Управление параметрами и бюджетом программы • Таргетирование программы Другие процессы под капотом
- Если не получается…
- Владимир Дубровин dubrovin@corp.mail.ru
Anúncio