Lanzamos un programa p煤blico de recompensas por errores en HackerOne: ahora puede recibir una recompensa por las vulnerabilidades que se encuentran en el sitio web de Ozon y, al mismo tiempo, ayudar a una empresa cuyo servicio es utilizado por amigos, conocidos y familiares. En este art铆culo, el equipo de seguridad de la informaci贸n de Ozon responde las preguntas m谩s populares sobre el programa.
驴Qu茅 recursos de Ozon est谩n involucrados en el programa?
Hasta ahora, solo el sitio principal, pero tambi茅n planeamos conectar otros servicios.
驴Cu谩nto pagamos por los errores encontrados?
En cada caso, el monto de la remuneraci贸n depende de la gravedad de la vulnerabilidad, la calidad del informe y otros criterios; al final, lo determinamos individualmente. Los detalles se pueden encontrar aqu铆 .
驴Alguien ya ha sido pagado?
S铆, en marzo el programa comenz贸 a puerta cerrada, y ya hemos pagado unos 360,000 rublos a los investigadores.
El primer informe que recibimos de r0hack en un programa entonces privado, sobre la falta de protecci贸n contra ataques como CSRF. Realmente no utilizamos el m茅todo cl谩sico de protecci贸n contra tales ataques en forma de los llamados. El token CSRF, con el que se firma la solicitud correspondiente (consulte la hoja de trucos de prevenci贸n de falsificaci贸n de solicitudes de sitios cruzados de OWASP ), nos hemos basado en un mecanismo relativamente nuevo, pero apoyado durante mucho tiempo por todos los principales navegadores, para marcar las cookies de sesi贸n con el atributo SameSite... Su esencia es que dicha cookie de sesi贸n deja de transmitirse (dependiendo del valor del atributo) durante las solicitudes normales entre sitios. Esto resuelve la causa original que conduce a la CSRF. El problema para nosotros result贸 ser que la cookie de sesi贸n tambi茅n cambi贸 en el lado del navegador en JavaScript ( s铆, esto es malo en s铆 mismo y lo eliminaremos muy pronto ) y all铆 se restableci贸 este atributo, desactivando as铆 la protecci贸n, y esto result贸 una sorpresa desagradable para nosotros, y el investigador tuvo que hacer un esfuerzo para demostrarnos usando PoC y video que el problema exist铆a. Por lo que gracias especiales a 茅l!
驴Por qu茅 no comenzaron en el dominio p煤blico de inmediato?
Una historia cl谩sica para casi todos los programas de recompensas de errores: la primera ola de informes que afecta al equipo de seguridad. Al mismo tiempo, es importante mantener un SLA aceptable para las respuestas y, en general, las reacciones en los informes. Por lo tanto, decidimos comenzar primero en modo privado, aumentando gradualmente el n煤mero de investigadores invitados y depurando los procesos internos correspondientes.
驴Ahora Ozon no tiene la intenci贸n de tratar con la seguridad?
Por el contrario, estamos fortaleciendo el equipo y planeamos no solo trabajar m谩s activamente con la comunidad de hackers, sino tambi茅n continuar construyendo procesos dentro del S-SDLC, que incluyen: control de seguridad de c贸digo, an谩lisis de seguridad de servicio y capacitaci贸n de empleados, e incluso mantener reuniones sobre la base de datos. Por cierto, el discurso del jefe del grupo de seguridad alimentaria Taras Ivashchenko de la reuni贸n anterior de OWASP se puede leer en nuestro blog.
Abastecerse de caf茅 y feliz pirater铆a !