Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Зато удобно! (Утечки из-за ботов в мессенджерах)

199 views

Published on

Язык докладаРусскийИсследователь безопасности веб-приложений в компании ONSEC. В данный момент работает над Wallarm.Антон Лопаницын Антон Лопаницын Application whitelisting: стряхнем пыль и посмотрим по-новому!Технологии

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Зато удобно! (Утечки из-за ботов в мессенджерах)

  1. 1. Зато удобно! Боты в telegram или самый предсказуемый доклад, потому что итак все понятно
  2. 2. ТЕ
  3. 3. ТЕ-ЛЕ
  4. 4. Публичные боты
  5. 5. Служебные боты
  6. 6. Альтернативное решение /say $(cat /flag)
  7. 7. Вжух https://api.hh.ru/employers?per_page=5000&page=0 Для статистики: 569 ботов
  8. 8. Почему работа с API телеги- боль Попытайтесь загуглить, для примера, описание метода “включения” бота
  9. 9. Telethon рулит
  10. 10. Боль
  11. 11. Ну еще одна боль
  12. 12. Чем различаются уязвимости ботов в telegram и уязвимости веб-приложений?
  13. 13. Чем различаются уязвимости ботов в telegram и уязвимости веб-приложений? НИЧЕМ, ваш К. О.!
  14. 14. В имени пользователя
  15. 15. В имени пользователя
  16. 16. Отсутствие валидации пользовательских данных при парсинге
  17. 17. Хотя это немного не про то, но ладно
  18. 18. Отсутствие авторизации пользователей
  19. 19. Часто в telegram-ботах есть интеграция • Teamcity • Redmine • Jira • Системы контроля версий • Jenkins • Nagios • Zabbix • Внутренние сервисы компании
  20. 20. Управление отпуском Бронирование переговорок Заявки на опоздания Оповещения о регистрациях Выполнение каких-то неведомых команд на каких-то неведомых бэкэндах
  21. 21. Внедрения запросов в СУБД А почему нет? Sqlmap2telegram Пруфов не будет
  22. 22. Выполнение произвольного кода А почему бы и да? Бот работает с медиафайлами – значит использует сторонние библиотеки. Где там эксплойты на ffmpeg или imagemagic?)
  23. 23. PHDays 2016
  24. 24. PHDays 2016
  25. 25. 0day 1day 2day 3day 4day 5day 6day 7day 8day 9day
  26. 26. Ну и не обязательно искать уязвимости в боте Если сообщения можно будет перехватывать
  27. 27. Вжух
  28. 28. Ввод-вывод Кодеры – аккуратнее Ибшники – пробуйте поискать ботов компании, которую аудируете
  29. 29. Зато удобно! @i_bo0om

×