- PVSM.RU - https://www.pvsm.ru -
Всем привет! Меня зовут Ира, я выпускающий редактор в журнале Хакер. В начале декабря я побывала на Security Meetup [1] в офисе Mail.Ru Group и хочу поделиться впечатлениями. Митап был посвящен программам bug bounty. Первый доклад сделала по видеосвязи представительница авторитетного международного хакерского сообщества HackerOne [2]. Она рассказала о том, как компаниям организовать собственную программу bug bounty c помощью этого сервиса, а пентестерам прокачать навыки и заработать денег. HackerOne — это вещь! Во-первых, он облегчает жизнь представителем компаний:
Во-вторых, этот сервис защищает пентестеров от несправедливости со стороны компаний. Если хакер найдет уязвимость, а фирма не захочет за нее заплатить, то вмешается администрация HackerOne и решит конфликт между двумя сторонами.
Логичнее было бы поставить этот доклад после того, как докладчики из Яндекса, Mail.Ru Group и Badoo рассказали о тех проблемах, с которыми они сталкивались при организации программ по поиску уязвимостей. Ведь люди, которые не занимались подобной деятельностью, не имеют понятия о сложностях, связанных с проведением bug bounty, и им трудно было сразу осознать выгоду, которую можно получить от сотрудничества с HackerOne.
Владимир Дубровин (Mail.Ru Group) и Тарас Иващенко (Яндекс) рассказали о проведенных их компаниями программах bug bounty. Они отметили следующие трудности:
С технической точки зрения мне показался наиболее интересным доклад Ильи Агеева из Badoo. Если его предшественники больше говорили об общих проблемах проведения программ, то он подробно рассказывал о конкретных найденных уязвимостях. В частности, о том, как можно было, меняя число в адресной строке, увеличивать баланс пользователя (помню, на рубеже 2006 и 2007 годов ВКонтакте тоже имелась подобная уязвимость, позволявшая накручивать рейтинг).
Дмитрий Бумов, как всегда, был на высоте. Этот парень — великолепный докладчик, который зажигает весь зал своей энергией. Он рассказывал о своем опыте участия в программах bug bounty (упоминал такие известные имена, как Facebook, Twitter и т.д.) и найденных им багах. Еще Дима давал советы о том, как находить уязвимости наиболее эффективно («Надо думать, а не вставлять в bug-report выдачу сканера»). Жаль, что его докладу было уделено мало времени, но удачно то, что его поставили в конец. Благодаря такой расстановке докладчиков слушатели шли домой с легким и позитивным настроением.
Пару слов об организационных моментах. В подарок дали футболку с рисунком из нулей и единиц. Я пришла ровно в 19:00, и поэтому удалось получить футболку моего размера. Для участников был организован отдельный Coffee Point – чай, кофе, печенье и газированные напитки. Если знать куда идти (подняться по стеклянной лестнице напротив спортзала), то можно раздобыть тыкву и свежевыжатый апельсиновый сок.
Брейк длился целых полчаса, а этого вполне достаточно, чтобы погулять по офису Mail.Ru Group. В этом «офисе мечты» можно увидеть много интересного:
Несмотря на то, что регистрация на встречу была открытой, а участие бесплатным, в зале было довольно мало случайных гостей. Большинство лиц в зале были мне знакомы (авторы «Хакера», полтора десятка сотрудников Mail.Ru Group, известные представители российского сектора ИБ и просто люди, которые примелькались на других конференциях). Но возможностей для неформального общения участникам представилось немного: время на вопросы после докладов было сильно ограничено, а на просто общение был отведен лишь получасовой брейк.
Этот митап был полезен прежде всего сотрудникам компаний, которые проводили, проводят или будут проводить программы bug bounty. Они вынесли из него реально уникальные и практически полезные знания. Специальной информации для пентестеров было неожиданно мало. Некоторым слушателям это не понравилось. Впрочем, содержание докладов соответствовало анонсу мероприятия и люди знали, куда идут.
Видеозапись докладов:
Автор: irina_chernova
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/bezopasnost/77983
Ссылки в тексте:
[1] Security Meetup: http://habrahabr.ru/company/xakep/blog/243377/
[2] HackerOne: https://hackerone.com/ru/
[3] Источник: http://habrahabr.ru/post/246249/
Нажмите здесь для печати.