O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Зато удобно! (Утечки из-за ботов в мессенджерах)

217 visualizações

Publicada em

Язык докладаРусскийИсследователь безопасности веб-приложений в компании ONSEC. В данный момент работает над Wallarm.Антон Лопаницын Антон Лопаницын Application whitelisting: стряхнем пыль и посмотрим по-новому!Технологии

Publicada em: Tecnologia
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Зато удобно! (Утечки из-за ботов в мессенджерах)

  1. 1. Зато удобно! Боты в telegram или самый предсказуемый доклад, потому что итак все понятно
  2. 2. ТЕ
  3. 3. ТЕ-ЛЕ
  4. 4. Публичные боты
  5. 5. Служебные боты
  6. 6. Альтернативное решение /say $(cat /flag)
  7. 7. Вжух https://api.hh.ru/employers?per_page=5000&page=0 Для статистики: 569 ботов
  8. 8. Почему работа с API телеги- боль Попытайтесь загуглить, для примера, описание метода “включения” бота
  9. 9. Telethon рулит
  10. 10. Боль
  11. 11. Ну еще одна боль
  12. 12. Чем различаются уязвимости ботов в telegram и уязвимости веб-приложений?
  13. 13. Чем различаются уязвимости ботов в telegram и уязвимости веб-приложений? НИЧЕМ, ваш К. О.!
  14. 14. В имени пользователя
  15. 15. В имени пользователя
  16. 16. Отсутствие валидации пользовательских данных при парсинге
  17. 17. Хотя это немного не про то, но ладно
  18. 18. Отсутствие авторизации пользователей
  19. 19. Часто в telegram-ботах есть интеграция • Teamcity • Redmine • Jira • Системы контроля версий • Jenkins • Nagios • Zabbix • Внутренние сервисы компании
  20. 20. Управление отпуском Бронирование переговорок Заявки на опоздания Оповещения о регистрациях Выполнение каких-то неведомых команд на каких-то неведомых бэкэндах
  21. 21. Внедрения запросов в СУБД А почему нет? Sqlmap2telegram Пруфов не будет
  22. 22. Выполнение произвольного кода А почему бы и да? Бот работает с медиафайлами – значит использует сторонние библиотеки. Где там эксплойты на ffmpeg или imagemagic?)
  23. 23. PHDays 2016
  24. 24. PHDays 2016
  25. 25. 0day 1day 2day 3day 4day 5day 6day 7day 8day 9day
  26. 26. Ну и не обязательно искать уязвимости в боте Если сообщения можно будет перехватывать
  27. 27. Вжух
  28. 28. Ввод-вывод Кодеры – аккуратнее Ибшники – пробуйте поискать ботов компании, которую аудируете
  29. 29. Зато удобно! @i_bo0om

×