Wir haben ein öffentliches Bug-Bounty-Programm auf HackerOne gestartet. Jetzt können Sie eine Belohnung für Schwachstellen auf der Ozon-Website erhalten und gleichzeitig einem Unternehmen helfen, dessen Service von Freunden, Bekannten und Verwandten genutzt wird. In diesem Artikel beantwortet das Ozon-Informationssicherheitsteam die häufigsten Fragen zum Programm.
Welche Ozonressourcen sind an dem Programm beteiligt?
Bisher nur die Hauptseite, aber wir planen, auch andere Dienste zu verbinden.
Wie viel zahlen wir für gefundene Fehler?
In jedem Fall hängt die Höhe der Vergütung von der Schwere der Sicherheitsanfälligkeit, der Qualität des Berichts und anderen Kriterien ab - am Ende legen wir sie individuell fest. Details finden Sie hier .
Wurde schon jemand bezahlt?
Ja, im März startete das Programm hinter verschlossenen Türen, und wir haben den Forschern bereits rund 360.000 Rubel gezahlt.
Der erste Bericht, den wir von r0hack in einem damals privaten Programm erhalten haben, über den mangelnden Schutz vor Angriffen wie CSRF. Wir verwenden die klassische Methode des Schutzes vor solchen Angriffen in Form der sogenannten wirklich nicht. Als CSRF-Token, mit dem die entsprechende Anforderung signiert ist (siehe OWASP-Spickzettel zur Verhinderung von Fälschungen bei standortübergreifenden Anfragen ), stützten wir uns auf einen relativ neuen, aber lange Zeit von allen gängigen Browsern unterstützten Mechanismus zum Markieren von Sitzungscookies mit dem SameSite- Attribut. Das Wesentliche ist, dass ein solches Sitzungscookie (abhängig vom Wert des Attributs) während normaler standortübergreifender Anforderungen nicht mehr übertragen wird. Dies löst die ursprüngliche Ursache, die zur CSRF führt. Das Problem für uns war, dass sich das Sitzungscookie auch auf der Browserseite in JavaScript geändert hat ( ja, das ist an sich schlecht und wir werden es sehr bald loswerden ) und dort dieses Attribut zurückgesetzt wurde, wodurch der Schutz deaktiviert wurde - und dies stellte sich heraus Eine unangenehme Überraschung für uns, und der Forscher musste sich bemühen, uns mithilfe von PoC und Video zu beweisen, dass das Problem bestand. Für welchen besonderen Dank an ihn!
Warum haben sie nicht sofort gemeinfrei angefangen?
Eine klassische Geschichte für fast alle Bug-Bounty-Programme - die erste Welle von Berichten, die das Sicherheitsteam traf. Gleichzeitig ist es wichtig, eine akzeptable SLA für Antworten und im Allgemeinen Reaktionen in Berichten einzuhalten. Aus diesem Grund haben wir uns entschlossen, zunächst im privaten Modus zu beginnen, die Anzahl der eingeladenen Forscher schrittweise zu erhöhen und die entsprechenden internen Prozesse zu debuggen.
Jetzt hat Ozon selbst nicht vor, sich mit Sicherheit zu befassen?
Im Gegenteil, wir verstärken das Team und planen, nicht nur aktiver mit der Hacker-Community zusammenzuarbeiten, sondern auch weiterhin Prozesse innerhalb des S-SDLC aufzubauen, einschließlich: Code-Sicherheitskontrolle, Service-Sicherheitsanalyse und Mitarbeiterschulung, und sogar Besprechungen über Infobase abzuhalten. Die Rede des Leiters der Lebensmittelsicherheitsgruppe Taras Ivashchenko vom letzten OWASP-Treffen kann übrigens in unserem Blog gelesen werden.
Tanken Sie Kaffee und viel Spaß beim Hacken !