HackerOneで公開バグ報奨金プログラムを開始しました-OzonのWebサイトで発見された脆弱性に対する報酬を受け取ることができると同時に、友人、知人、親類がサービスを使用している会社を支援できます。この記事では、Ozon情報セキュリティチームがプログラムに関する最も一般的な質問に回答します。
プログラムに関係するOzonリソースは何ですか?
これまではメインサイトのみでしたが、他のサービスも接続する予定です。
見つかったバグに対していくら払うのですか?
いずれの場合も、報酬の額は、脆弱性の重大度、レポートの品質、およびその他の基準によって異なります。最終的には、個別に決定します。詳細はこちら。
すでに支払われた人はいますか?
はい、3月にプログラムは密室で始まりました、そして我々はすでに研究者におよそ36万ルーブルを支払いました。CSRFのような攻撃に対する保護の欠如について、当時のプライベートプログラムでr0hack
から受け取った最初のレポート。私たちは実際に、いわゆる攻撃という形でのこのような攻撃に対する従来の保護方法を使用していません。対応するリクエストの署名に使用されるCSRFトークン(OWASPクロスサイトリクエストフォージェリ防止のチートシートを参照)は、比較的新しいものに依存してきましたが、長い間、すべての主要なブラウザーでサポートされており、SameSite属性でセッションCookieをマークするメカニズム... その本質は、そのようなセッションCookieは、通常のクロスサイトリクエスト中に(属性の値に応じて)送信されなくなることです。これにより、CSRFにつながる元の原因が解決されます。私たちにとっての問題は、JavaScriptのブラウザー側でもセッションCookieが変更されていること(はい、これはそれ自体が悪いため、すぐに削除されます)であり、この属性がリセットされたため、保護が無効になり、これが判明しました。私たちにとっては不愉快な驚きであり、研究者はPoCとビデオを使用して、問題が存在することを証明する努力をしなければなりませんでした。彼に特別な感謝を!
なぜ彼らはすぐにパブリックドメインで始めなかったのですか?
ほぼすべてのバグ報奨金プログラムの古典的な話-セキュリティチームを襲った最初のレポートの波。同時に、応答および一般的にはレポートの反応について、許容可能なSLAを維持することが重要です。したがって、最初にプライベートモードで開始し、招待される研究者の数を徐々に増やし、対応する内部プロセスをデバッグすることを決定しました。
オゾン自体はセキュリティを扱うつもりはありませんか?
それどころか、私たちはチームを強化しており、ハッカーコミュニティとより積極的に連携するだけでなく、コードセキュリティ制御、サービスセキュリティ分析、従業員トレーニングなどのS-SDLC内のプロセスを構築し続け、情報ベースに関する会議を開催することも計画しています。ちなみに、前回のOWASPの会合での食品安全グループTaras Ivashchenkoの代表のスピーチは、ブログで読むことができます。
コーヒーと幸せなハッキングを買いましょう!