Kami meluncurkan program hadiah bug publik di HackerOne - sekarang Anda dapat menerima hadiah untuk kerentanan yang ditemukan di situs web Ozon, dan pada saat yang sama membantu perusahaan yang layanannya digunakan oleh teman, kenalan, dan kerabat. Dalam artikel ini, tim keamanan informasi Ozon menjawab pertanyaan paling populer tentang program ini.
Sumber daya Ozon apa yang terlibat dalam program ini?
Sejauh ini, hanya situs utama, tetapi kami berencana untuk menghubungkan layanan lain juga.
Berapa banyak yang kami bayarkan untuk bug yang ditemukan?
Dalam setiap kasus, jumlah remunerasi tergantung pada tingkat keparahan kerentanan, kualitas laporan dan kriteria lainnya - pada akhirnya, kami menentukannya secara individual. Detail dapat ditemukan di sini .
Adakah yang sudah dibayar?
Ya, pada bulan Maret program dimulai secara tertutup, dan kami telah membayar sekitar 360.000 rubel kepada para peneliti.
Laporan pertama yang kami terima dari rhhack dalam program pribadi, tentang kurangnya perlindungan terhadap serangan seperti CSRF. Kami benar-benar tidak menggunakan metode perlindungan klasik terhadap serangan seperti itu dalam bentuk apa yang disebut. Token CSRF, yang dengannya permintaan terkait ditandatangani (lihat Lembar Cheat Penipuan Permintaan Lintas Situs OWASP ), kami mengandalkan yang relatif baru, tetapi untuk waktu yang lama didukung oleh semua browser utama, mekanisme untuk menandai cookie sesi dengan atribut SameSite... Esensinya adalah bahwa cookie sesi seperti itu berhenti ditransmisikan (tergantung pada nilai atribut) selama permintaan lintas situs yang normal. Ini memecahkan penyebab awal yang mengarah ke CSRF. Masalahnya bagi kami ternyata adalah bahwa cookie sesi juga berubah di sisi peramban dalam JavaScript ( ya, ini buruk dalam dirinya sendiri dan kami akan segera menyingkirkannya ) dan di sana atribut ini disetel ulang, sehingga mematikan perlindungan - dan ini ternyata kejutan yang tidak menyenangkan bagi kami, dan peneliti harus berusaha membuktikan kepada kami menggunakan PoC dan video bahwa masalahnya ada. Terima kasih khusus padanya!
Mengapa mereka tidak memulai di domain publik segera?
Sebuah kisah klasik untuk hampir semua program karunia bug - gelombang pertama laporan yang mengenai tim keamanan. Pada saat yang sama, penting untuk menjaga SLA yang dapat diterima untuk tanggapan dan, secara umum, reaksi dalam laporan. Oleh karena itu, kami memutuskan untuk memulai dalam mode privat terlebih dahulu, secara bertahap meningkatkan jumlah peneliti yang diundang dan men-debug proses internal yang sesuai.
Sekarang Ozon sendiri tidak bermaksud menangani keamanan?
Sebaliknya, kami memperkuat tim dan berencana untuk tidak hanya bekerja lebih aktif dengan komunitas peretas, tetapi juga terus membangun proses dalam S-SDLC, termasuk: kontrol kode keamanan, analisis keamanan layanan dan pelatihan karyawan, dan bahkan mengadakan pertemuan tentang informasi. Omong-omong, pidato kepala kelompok keamanan pangan Taras Ivashchenko dari pertemuan OWASP sebelumnya dapat dibaca di blog kami.
Persediaan kopi dan selamat hack !