أطلقنا برنامجًا عامًا لفضلات الأخطاء على HackerOne - الآن يمكنك الحصول على مكافأة عن الثغرات الموجودة على موقع Ozon الإلكتروني ، وفي نفس الوقت مساعدة شركة تستخدم خدماتها من قبل الأصدقاء والمعارف والأقارب. في هذه المقالة ، يجيب فريق أمن معلومات Ozon على الأسئلة الأكثر شيوعًا حول البرنامج.
ما هي موارد الأوزون المشاركة في البرنامج؟
حتى الآن ، الموقع الرئيسي فقط ، لكننا نخطط لربط خدمات أخرى أيضًا.
كم ندفع للأخطاء الموجودة؟
في كل حالة ، يعتمد مقدار المكافأة على شدة الضعف وجودة التقرير ومعايير أخرى - في النهاية ، نحدده بشكل فردي. يمكن العثور على التفاصيل هنا .
هل تم دفع أي شخص بالفعل؟
نعم ، في مارس بدأ البرنامج خلف أبواب مغلقة ، وقد دفعنا بالفعل حوالي 360 ألف روبل للباحثين.
التقرير الأول الذي تلقيناه من r0hack في برنامج خاص آنذاك ، حول نقص الحماية ضد الهجمات مثل CSRF. نحن حقا لا نستخدم الطريقة الكلاسيكية للحماية ضد مثل هذه الهجمات في شكل ما يسمى. الرمز المميز لـ CSRF ، الذي تم توقيع الطلب المقابل به (انظر ورقة الغش لمنع التزوير في طلب المواقع المشتركة عبر OWASP ) ، اعتمدنا على نسخة جديدة نسبيًا ، ولكن لفترة طويلة مدعومة من قبل جميع المتصفحات الرئيسية ، آلية لوضع علامة على ملفات تعريف ارتباط الجلسة بسمة SameSite... جوهرها هو أن يتم إيقاف إرسال ملف تعريف ارتباط الجلسة (اعتمادًا على قيمة السمة) أثناء الطلبات العادية عبر المواقع. هذا يحل السبب الأصلي المؤدي إلى CSRF. تحولت المشكلة بالنسبة لنا إلى أن ملف تعريف ارتباط الجلسة قد تغير أيضًا على جانب المتصفح في جافا سكريبت ( نعم ، هذا سيئ في حد ذاته وسنتخلص منه قريبًا جدًا ) وهناك تمت إعادة تعيين هذه السمة ، وبالتالي إيقاف الحماية - وهذا تحول مفاجأة غير سارة لنا ، وكان على الباحث أن يبذل جهدًا ليثبت لنا باستخدام PoC وفيديو أن المشكلة موجودة. التي شكر خاص له!
لماذا لم يبدأوا في المجال العام على الفور؟
قصة كلاسيكية لجميع برامج مكافأة الأخطاء - الموجة الأولى من التقارير التي تضرب الفريق الأمني. في الوقت نفسه ، من المهم الحفاظ على اتفاقية مستوى الخدمة مقبولة للردود ، وبشكل عام ، ردود الفعل في التقارير. لذلك ، قررنا البدء في الوضع الخاص أولاً ، وزيادة عدد الباحثين المدعوين تدريجيًا وتصحيح العمليات الداخلية المقابلة.
الآن أوزون نفسه لا ينوي التعامل مع الأمن؟
على العكس من ذلك ، نحن نعزز الفريق ونخطط ليس فقط للعمل بشكل أكثر نشاطًا مع مجتمع القراصنة ، ولكن أيضًا الاستمرار في بناء العمليات داخل S-SDLC ، بما في ذلك: التحكم في أمان التعليمات البرمجية وتحليل أمان الخدمة وتدريب الموظفين وحتى عقد اجتماعات حول infobase. بالمناسبة ، يمكن قراءة خطاب رئيس مجموعة سلامة الغذاء Taras Ivashchenko من لقاء OWASP السابق على مدونتنا.
قم بتخزين القهوة والقرصنة السعيدة !