SlideShare a Scribd company logo

Илья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru Group

Mail.ru Group
Mail.ru Group

Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, и Илья Агеев, QA Lead, Badoo, поделятся опытом проведения программы bugbounty, расскажут о том, какие шишки набили при запуске и чего удалось достичь в результате, а также разберут пару-тройку наиболее интересных уязвимостей.

Internet
1 of 23
Download to read offline
Bounty-программа в Badoo сказ о том, как хакеры нас на уязвимости проверяли Илья Агеев #SecurityMeetUp
Кто мы? - соцсеть для новых знакомств - > 220М пользователей - ~ 50 языков - ~ 3000 серверов - > 100 разработчиков - > 30 тестировщиков
Безопасность - часть процесса - Системные администраторы - Разработчики - Тестировщики - Автоматические инструменты - Сторонние аудиторы (PCI DSS) - Инфраструктура, архитектура, культура работы и взаимодействия
- Системные администраторы - Разработчики - Тестировщики - Автоматические инструменты - Сторонние аудиторы (PCI DSS) - Инфраструктура, архитектура, культура работы и взаимодействия Безопасность - часть процесса Специалисты-волонтеры
Подготовка - Ресерч - Инфраструктура - Анти-XSS - Внутренний аудит - Инструменты для обработки заявок
Как мы присуждаем категории - 5 категорий, в зависимости от потенциального ущерба - Супер-премия выше £2000
1й этап - месячник безопасности - ~ 500 заявок с потенциальными угрозами - ~ 50 дубликатов - ~ 150 багов / улучшений / пожеланий - > 50 уязвимостей безопасности - > половины уязвимостей - CSRF
Типы уязвимостей
Распределение заявок
Интересные баги Уязвимость в обработке количества Badoo-кредитов при покупке (BSI-13) Автор: Asd Категория: 5 Misconfiguration при изменении данных профиля (BSI-12) Автор: whitebureau Категория: 5 CSRF и привязка внешнего аккаунта социальных сетей (BSI-44) Автор: chipik Категория: 4
Что сделали? - Научились реагировать в течении нескольких часов - Проект по Анти-CSRF - Пофиксили баги :)
Дальнейшие шаги - Поняли что это хорошо - Другой формат - постоянная программа - Повторный ресерч - Улучшили инструментарий
Флоу обработки в google-groups email form Jury Development Dev Rel
Флоу обработки в JIRA email form JIRA Jury Development validation, auto-emails
2-й этап - постоянная программа - Добавили мобильные приложения и мобильный веб - Наша программа попала в bugcrowd
2-й этап - постоянная программа - ~ 870 заявок за год - ~ 50 уязвимостей безопасности - > 30 дубликатов - > 20 багов в мобайле
Распределение заявок
Интересные баги Уязвимость в обработке comet (BSI-329) Автор: maxxarts Категория: Специальная премия Выполнение произвольного кода в Android-приложении (addJavascriptInterface) (BSI- 601) Автор: secure.doggy.lin Категория: 2 Чтение произвольных файлов Android-приложения (BSI-600) Автор: secure.doggy.lin Категория: 2
Выводы - Узнали о багах, о которых не знали бы без программы - На постоянной основе имеем незамыленный взгляд на баги - У краткосрочной программы другой эффект
Идеи на будущее - Краткосрочные конкурсы для конкретных платформ (мобайл) - Англоязычная/мультиязычная программа
Вопросы? http://corp.badoo.com/security email: i.ageev@corp.badoo.com habr: http://habrahabr.ru/company/badoo/blog/ facebook: https://www.facebook.com/BadooMoscow twitter: https://twitter.com/BadooDev

Recommended

Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...
Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...
Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...Badoo Development
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Penetration testing
Penetration testingPenetration testing
Penetration testingAlexander Dorofeev
 
Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Dmitry Evteev
 
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Cisco Russia
 
Доклад SiteSecure
Доклад SiteSecureДоклад SiteSecure
Доклад SiteSecurePositive Hack Days
 

Recommended

Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...
Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...
Доклад Ильи Агеева "Bounty-программа в Badoo сказ о том, как хакеры нас на уя...Badoo Development
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Penetration testing
Penetration testingPenetration testing
Penetration testingAlexander Dorofeev
 
Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Dmitry Evteev
 
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Cisco Russia
 
Доклад SiteSecure
Доклад SiteSecureДоклад SiteSecure
Доклад SiteSecurePositive Hack Days
 
Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Security M...
Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Security M...Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Security M...
Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Security M...Mail.ru Group
 
Pavel Dovbush Toster
Pavel Dovbush Toster Pavel Dovbush Toster
Pavel Dovbush Toster Pavel Dovbush
 
DPI платит за себя : актуальные бизнес-кейсы
DPI платит за себя : актуальные бизнес-кейсыDPI платит за себя : актуальные бизнес-кейсы
DPI платит за себя : актуальные бизнес-кейсыDmitriy Moldavanov
 
NeoQUEST: небесполезный Pc speaker
NeoQUEST: небесполезный Pc speakerNeoQUEST: небесполезный Pc speaker
NeoQUEST: небесполезный Pc speakerNeo_QUEST
 
Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, Securit...
Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, Securit...Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, Securit...
Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, Securit...Mail.ru Group
 
Виды ответственности за использование контрафактного ПО на предприятиях
Виды ответственности за использование контрафактного ПО на предприятияхВиды ответственности за использование контрафактного ПО на предприятиях
Виды ответственности за использование контрафактного ПО на предприятияхСмартсорсинг.ру Сообщество
 
HackerOne, Security Meetup 4 декабря 2014, Mail.Ru Group
HackerOne, Security Meetup 4 декабря 2014, Mail.Ru GroupHackerOne, Security Meetup 4 декабря 2014, Mail.Ru Group
HackerOne, Security Meetup 4 декабря 2014, Mail.Ru GroupMail.ru Group
 
Py3k
Py3kPy3k
Py3kAndrew Svetlov
 
On her majesty's secret service - GRX and a Spy Agency
On her majesty's secret service - GRX and a Spy AgencyOn her majesty's secret service - GRX and a Spy Agency
On her majesty's secret service - GRX and a Spy AgencyStephen Kho
 
NeoQUEST: Интернет в порядке вещей
NeoQUEST: Интернет в порядке вещейNeoQUEST: Интернет в порядке вещей
NeoQUEST: Интернет в порядке вещейNeo_QUEST
 
Андрей Гулин "Знакомство с MatrixNet"
Андрей Гулин "Знакомство с MatrixNet"Андрей Гулин "Знакомство с MatrixNet"
Андрей Гулин "Знакомство с MatrixNet"Yandex
 
User Experience 2011: Мастер-класс: Кросс-платформенное проектирование для мо...
User Experience 2011: Мастер-класс: Кросс-платформенное проектирование для мо...User Experience 2011: Мастер-класс: Кросс-платформенное проектирование для мо...
User Experience 2011: Мастер-класс: Кросс-платформенное проектирование для мо...Yury Vetrov
 
Making Java more dynamic: runtime code generation for the JVM
Making Java more dynamic: runtime code generation for the JVMMaking Java more dynamic: runtime code generation for the JVM
Making Java more dynamic: runtime code generation for the JVMRafael Winterhalter
 
Oriense presentation for Webit Congress
Oriense presentation for Webit CongressOriense presentation for Webit Congress
Oriense presentation for Webit CongressKonstantin Zhukov
 
Найти и обезвредить: как обнаружить черный трафик
Найти и обезвредить: как обнаружить черный трафикНайти и обезвредить: как обнаружить черный трафик
Найти и обезвредить: как обнаружить черный трафикLook At Media
 
Algorithmic Trading Latest Trends & Developments Lecture By Dr. Lipa Roitman
Algorithmic Trading Latest Trends & Developments Lecture By Dr. Lipa RoitmanAlgorithmic Trading Latest Trends & Developments Lecture By Dr. Lipa Roitman
Algorithmic Trading Latest Trends & Developments Lecture By Dr. Lipa RoitmanI Know First: Daily Market Forecast
 
Ищем ключевые точки позиционирование веб-студии
Ищем ключевые точки позиционирование веб-студииИщем ключевые точки позиционирование веб-студии
Ищем ключевые точки позиционирование веб-студииAndrey Terekhov
 
XMas E-Card Trends Report '10
XMas E-Card Trends Report '10XMas E-Card Trends Report '10
XMas E-Card Trends Report '10Red Keds
 
ElasticSearch at berlinbuzzwords 2010
ElasticSearch at berlinbuzzwords 2010ElasticSearch at berlinbuzzwords 2010
ElasticSearch at berlinbuzzwords 2010Elasticsearch
 
Jesse Robbins Keynote - Hacking Culture @ Cloud Expo Europe 2013
Jesse Robbins Keynote - Hacking Culture @ Cloud Expo Europe 2013Jesse Robbins Keynote - Hacking Culture @ Cloud Expo Europe 2013
Jesse Robbins Keynote - Hacking Culture @ Cloud Expo Europe 2013Jesse Robbins
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 

More Related Content

Viewers also liked

Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Security M...
Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Security M...Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Security M...
Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Security M...Mail.ru Group
 
Pavel Dovbush Toster
Pavel Dovbush Toster Pavel Dovbush Toster
Pavel Dovbush Toster Pavel Dovbush
 
DPI платит за себя : актуальные бизнес-кейсы
DPI платит за себя : актуальные бизнес-кейсыDPI платит за себя : актуальные бизнес-кейсы
DPI платит за себя : актуальные бизнес-кейсыDmitriy Moldavanov
 
NeoQUEST: небесполезный Pc speaker
NeoQUEST: небесполезный Pc speakerNeoQUEST: небесполезный Pc speaker
NeoQUEST: небесполезный Pc speakerNeo_QUEST
 
Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, Securit...
Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, Securit...Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, Securit...
Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, Securit...Mail.ru Group
 
Виды ответственности за использование контрафактного ПО на предприятиях
Виды ответственности за использование контрафактного ПО на предприятияхВиды ответственности за использование контрафактного ПО на предприятиях
Виды ответственности за использование контрафактного ПО на предприятияхСмартсорсинг.ру Сообщество
 
HackerOne, Security Meetup 4 декабря 2014, Mail.Ru Group
HackerOne, Security Meetup 4 декабря 2014, Mail.Ru GroupHackerOne, Security Meetup 4 декабря 2014, Mail.Ru Group
HackerOne, Security Meetup 4 декабря 2014, Mail.Ru GroupMail.ru Group
 
On her majesty's secret service - GRX and a Spy Agency
On her majesty's secret service - GRX and a Spy AgencyOn her majesty's secret service - GRX and a Spy Agency
On her majesty's secret service - GRX and a Spy AgencyStephen Kho
 
NeoQUEST: Интернет в порядке вещей
NeoQUEST: Интернет в порядке вещейNeoQUEST: Интернет в порядке вещей
NeoQUEST: Интернет в порядке вещейNeo_QUEST
 
Андрей Гулин "Знакомство с MatrixNet"
Андрей Гулин "Знакомство с MatrixNet"Андрей Гулин "Знакомство с MatrixNet"
Андрей Гулин "Знакомство с MatrixNet"Yandex
 
User Experience 2011: Мастер-класс: Кросс-платформенное проектирование для мо...
User Experience 2011: Мастер-класс: Кросс-платформенное проектирование для мо...User Experience 2011: Мастер-класс: Кросс-платформенное проектирование для мо...
User Experience 2011: Мастер-класс: Кросс-платформенное проектирование для мо...Yury Vetrov
 
Making Java more dynamic: runtime code generation for the JVM
Making Java more dynamic: runtime code generation for the JVMMaking Java more dynamic: runtime code generation for the JVM
Making Java more dynamic: runtime code generation for the JVMRafael Winterhalter
 
Oriense presentation for Webit Congress
Oriense presentation for Webit CongressOriense presentation for Webit Congress
Oriense presentation for Webit CongressKonstantin Zhukov
 
Найти и обезвредить: как обнаружить черный трафик
Найти и обезвредить: как обнаружить черный трафикНайти и обезвредить: как обнаружить черный трафик
Найти и обезвредить: как обнаружить черный трафикLook At Media
 
Algorithmic Trading Latest Trends & Developments Lecture By Dr. Lipa Roitman
Algorithmic Trading Latest Trends & Developments Lecture By Dr. Lipa RoitmanAlgorithmic Trading Latest Trends & Developments Lecture By Dr. Lipa Roitman
Algorithmic Trading Latest Trends & Developments Lecture By Dr. Lipa RoitmanI Know First: Daily Market Forecast
 
Ищем ключевые точки позиционирование веб-студии
Ищем ключевые точки позиционирование веб-студииИщем ключевые точки позиционирование веб-студии
Ищем ключевые точки позиционирование веб-студииAndrey Terekhov
 
XMas E-Card Trends Report '10
XMas E-Card Trends Report '10XMas E-Card Trends Report '10
XMas E-Card Trends Report '10Red Keds
 
ElasticSearch at berlinbuzzwords 2010
ElasticSearch at berlinbuzzwords 2010ElasticSearch at berlinbuzzwords 2010
ElasticSearch at berlinbuzzwords 2010Elasticsearch
 
Jesse Robbins Keynote - Hacking Culture @ Cloud Expo Europe 2013
Jesse Robbins Keynote - Hacking Culture @ Cloud Expo Europe 2013Jesse Robbins Keynote - Hacking Culture @ Cloud Expo Europe 2013
Jesse Robbins Keynote - Hacking Culture @ Cloud Expo Europe 2013Jesse Robbins
 

Viewers also liked (20)

Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Security M...
Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Security M...Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Security M...
Владимир Дубровин, руководитель группы тестирования Mail.Ru Group, Security M...
 
Pavel Dovbush Toster
Pavel Dovbush Toster Pavel Dovbush Toster
Pavel Dovbush Toster
 
DPI платит за себя : актуальные бизнес-кейсы
DPI платит за себя : актуальные бизнес-кейсыDPI платит за себя : актуальные бизнес-кейсы
DPI платит за себя : актуальные бизнес-кейсы
 
NeoQUEST: небесполезный Pc speaker
NeoQUEST: небесполезный Pc speakerNeoQUEST: небесполезный Pc speaker
NeoQUEST: небесполезный Pc speaker
 
Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, Securit...
Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, Securit...Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, Securit...
Тарас Иващенко, руководитель группы продуктовой безопасности Яндекса, Securit...
 
Виды ответственности за использование контрафактного ПО на предприятиях
Виды ответственности за использование контрафактного ПО на предприятияхВиды ответственности за использование контрафактного ПО на предприятиях
Виды ответственности за использование контрафактного ПО на предприятиях
 
HackerOne, Security Meetup 4 декабря 2014, Mail.Ru Group
HackerOne, Security Meetup 4 декабря 2014, Mail.Ru GroupHackerOne, Security Meetup 4 декабря 2014, Mail.Ru Group
HackerOne, Security Meetup 4 декабря 2014, Mail.Ru Group
 
Py3k
Py3kPy3k
Py3k
 
On her majesty's secret service - GRX and a Spy Agency
On her majesty's secret service - GRX and a Spy AgencyOn her majesty's secret service - GRX and a Spy Agency
On her majesty's secret service - GRX and a Spy Agency
 
NeoQUEST: Интернет в порядке вещей
NeoQUEST: Интернет в порядке вещейNeoQUEST: Интернет в порядке вещей
NeoQUEST: Интернет в порядке вещей
 
Андрей Гулин "Знакомство с MatrixNet"
Андрей Гулин "Знакомство с MatrixNet"Андрей Гулин "Знакомство с MatrixNet"
Андрей Гулин "Знакомство с MatrixNet"
 
User Experience 2011: Мастер-класс: Кросс-платформенное проектирование для мо...
User Experience 2011: Мастер-класс: Кросс-платформенное проектирование для мо...User Experience 2011: Мастер-класс: Кросс-платформенное проектирование для мо...
User Experience 2011: Мастер-класс: Кросс-платформенное проектирование для мо...
 
Making Java more dynamic: runtime code generation for the JVM
Making Java more dynamic: runtime code generation for the JVMMaking Java more dynamic: runtime code generation for the JVM
Making Java more dynamic: runtime code generation for the JVM
 
Oriense presentation for Webit Congress
Oriense presentation for Webit CongressOriense presentation for Webit Congress
Oriense presentation for Webit Congress
 
Найти и обезвредить: как обнаружить черный трафик
Найти и обезвредить: как обнаружить черный трафикНайти и обезвредить: как обнаружить черный трафик
Найти и обезвредить: как обнаружить черный трафик
 
Algorithmic Trading Latest Trends & Developments Lecture By Dr. Lipa Roitman
Algorithmic Trading Latest Trends & Developments Lecture By Dr. Lipa RoitmanAlgorithmic Trading Latest Trends & Developments Lecture By Dr. Lipa Roitman
Algorithmic Trading Latest Trends & Developments Lecture By Dr. Lipa Roitman
 
Ищем ключевые точки позиционирование веб-студии
Ищем ключевые точки позиционирование веб-студииИщем ключевые точки позиционирование веб-студии
Ищем ключевые точки позиционирование веб-студии
 
XMas E-Card Trends Report '10
XMas E-Card Trends Report '10XMas E-Card Trends Report '10
XMas E-Card Trends Report '10
 
ElasticSearch at berlinbuzzwords 2010
ElasticSearch at berlinbuzzwords 2010ElasticSearch at berlinbuzzwords 2010
ElasticSearch at berlinbuzzwords 2010
 
Jesse Robbins Keynote - Hacking Culture @ Cloud Expo Europe 2013
Jesse Robbins Keynote - Hacking Culture @ Cloud Expo Europe 2013Jesse Robbins Keynote - Hacking Culture @ Cloud Expo Europe 2013
Jesse Robbins Keynote - Hacking Culture @ Cloud Expo Europe 2013
 

Similar to Илья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru Group

Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
безопасность
безопасностьбезопасность
безопасностьShoplist
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008guest5b66888
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложенийSQALab
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk
 
Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Ivan Piskunov
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Экспертная система оценки информационной безопасности в организации
Экспертная система оценки информационной безопасности в организацииЭкспертная система оценки информационной безопасности в организации
Экспертная система оценки информационной безопасности в организацииГалина Пузанова
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаровDenial Solopov
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and backqqlan
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 

Similar to Илья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru Group (20)

Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 
Безопасность
БезопасностьБезопасность
Безопасность
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
безопасность
безопасностьбезопасность
безопасность
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
 
Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность?
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Экспертная система оценки информационной безопасности в организации
Экспертная система оценки информационной безопасности в организацииЭкспертная система оценки информационной безопасности в организации
Экспертная система оценки информационной безопасности в организации
 
Security Audit Rfp Template
Security Audit Rfp TemplateSecurity Audit Rfp Template
Security Audit Rfp Template
 
01 Sachkov
01 Sachkov01 Sachkov
01 Sachkov
 
Mouse
MouseMouse
Mouse
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаров
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and back
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 

More from Mail.ru Group

Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...Mail.ru Group
 
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...Mail.ru Group
 
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир ДубровинДругая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир ДубровинMail.ru Group
 
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...Mail.ru Group
 
Управление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон ВикторовУправление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон ВикторовMail.ru Group
 
DAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга СвиридоваDAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга СвиридоваMail.ru Group
 
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...Mail.ru Group
 
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...Mail.ru Group
 
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidiaRAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidiaMail.ru Group
 
WebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоWebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоMail.ru Group
 
AMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей ПешковAMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей ПешковMail.ru Group
 
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила СтрелковКак мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила СтрелковMail.ru Group
 
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...Mail.ru Group
 
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.ТаксиМетапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.ТаксиMail.ru Group
 
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru GroupКак не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru GroupMail.ru Group
 
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)Mail.ru Group
 
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...Mail.ru Group
 
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...Mail.ru Group
 
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)Mail.ru Group
 
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()Mail.ru Group
 

More from Mail.ru Group (20)

Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
 
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
 
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир ДубровинДругая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
 
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
 
Управление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон ВикторовУправление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон Викторов
 
DAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга СвиридоваDAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга Свиридова
 
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
 
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
 
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidiaRAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
 
WebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоWebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий Остапенко
 
AMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей ПешковAMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей Пешков
 
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила СтрелковКак мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
 
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
 
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.ТаксиМетапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
 
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru GroupКак не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
 
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
 
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
 
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
 
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
 
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
 

Илья Агеев, QA Lead, Badoo, Security Meetup 4 декабря 2014, Mail.Ru Group

  • 1. Bounty-программа в Badoo сказ о том, как хакеры нас на уязвимости проверяли Илья Агеев #SecurityMeetUp
  • 2. Кто мы? - соцсеть для новых знакомств - > 220М пользователей - ~ 50 языков - ~ 3000 серверов - > 100 разработчиков - > 30 тестировщиков
  • 3.
  • 4. Безопасность - часть процесса - Системные администраторы - Разработчики - Тестировщики - Автоматические инструменты - Сторонние аудиторы (PCI DSS) - Инфраструктура, архитектура, культура работы и взаимодействия
  • 5. - Системные администраторы - Разработчики - Тестировщики - Автоматические инструменты - Сторонние аудиторы (PCI DSS) - Инфраструктура, архитектура, культура работы и взаимодействия Безопасность - часть процесса Специалисты-волонтеры
  • 6. Подготовка - Ресерч - Инфраструктура - Анти-XSS - Внутренний аудит - Инструменты для обработки заявок
  • 7.
  • 8. Как мы присуждаем категории - 5 категорий, в зависимости от потенциального ущерба - Супер-премия выше £2000
  • 9. 1й этап - месячник безопасности - ~ 500 заявок с потенциальными угрозами - ~ 50 дубликатов - ~ 150 багов / улучшений / пожеланий - > 50 уязвимостей безопасности - > половины уязвимостей - CSRF
  • 12. Интересные баги Уязвимость в обработке количества Badoo-кредитов при покупке (BSI-13) Автор: Asd Категория: 5 Misconfiguration при изменении данных профиля (BSI-12) Автор: whitebureau Категория: 5 CSRF и привязка внешнего аккаунта социальных сетей (BSI-44) Автор: chipik Категория: 4
  • 13. Что сделали? - Научились реагировать в течении нескольких часов - Проект по Анти-CSRF - Пофиксили баги :)
  • 14. Дальнейшие шаги - Поняли что это хорошо - Другой формат - постоянная программа - Повторный ресерч - Улучшили инструментарий
  • 15. Флоу обработки в google-groups email form Jury Development Dev Rel
  • 16. Флоу обработки в JIRA email form JIRA Jury Development validation, auto-emails
  • 17. 2-й этап - постоянная программа - Добавили мобильные приложения и мобильный веб - Наша программа попала в bugcrowd
  • 18. 2-й этап - постоянная программа - ~ 870 заявок за год - ~ 50 уязвимостей безопасности - > 30 дубликатов - > 20 багов в мобайле
  • 20. Интересные баги Уязвимость в обработке comet (BSI-329) Автор: maxxarts Категория: Специальная премия Выполнение произвольного кода в Android-приложении (addJavascriptInterface) (BSI- 601) Автор: secure.doggy.lin Категория: 2 Чтение произвольных файлов Android-приложения (BSI-600) Автор: secure.doggy.lin Категория: 2
  • 21. Выводы - Узнали о багах, о которых не знали бы без программы - На постоянной основе имеем незамыленный взгляд на баги - У краткосрочной программы другой эффект
  • 22. Идеи на будущее - Краткосрочные конкурсы для конкретных платформ (мобайл) - Англоязычная/мультиязычная программа