Nous avons lancé un programme public de bug bounty sur HackerOne - vous pouvez maintenant recevoir une récompense pour les vulnérabilités trouvées sur le site Web d'Ozon, et en même temps aider une entreprise dont le service est utilisé par des amis, des connaissances et des parents. Dans cet article, l'équipe de sécurité des informations d'Ozon répond aux questions les plus courantes sur le programme.
Quelles ressources Ozon sont impliquées dans le programme?
Jusqu'à présent, uniquement le site principal, mais nous prévoyons également de connecter d'autres services.
Combien payons-nous pour les bogues trouvés?
Dans chaque cas, le montant de la rémunération dépend de la gravité de la vulnérabilité, de la qualité du rapport et d'autres critères - au final, nous le déterminons individuellement. Les détails peuvent être trouvés ici .
Quelqu'un at-il déjà été payé?
Oui, en mars, le programme a démarré à huis clos et nous avons déjà versé environ 360 000 roubles aux chercheurs.
Le premier rapport que nous avons reçu de r0hack dans un programme alors privé, sur le manque de protection contre les attaques comme CSRF. Nous n'utilisons vraiment pas la méthode classique de protection contre de telles attaques sous la forme de ce que l'on appelle. Jeton CSRF, avec lequel la demande correspondante est signée (voir OWASP Cross-Site Request Forgery Prevention Cheat Sheet ), nous nous sommes appuyés sur un mécanisme relativement nouveau, mais depuis longtemps pris en charge par tous les principaux navigateurs, un mécanisme de marquage des cookies de session avec l'attribut SameSite. Son essence est qu'un tel cookie de session cesse d'être transmis (en fonction de la valeur de l'attribut) pendant les requêtes intersites normales. Cela résout la cause initiale menant au CSRF. Le problème pour nous s'est avéré être que le cookie de session a également changé du côté du navigateur en JavaScript ( oui, c'est mauvais en soi et nous nous en débarrasserons très bientôt ) et là, cet attribut a été réinitialisé, désactivant ainsi la protection - et cela s'est avéré une mauvaise surprise pour nous, et le chercheur a dû faire un effort pour nous prouver à l'aide de PoC et de la vidéo que le problème existait. Pour quel merci spécial à lui!
Pourquoi n'ont-ils pas commencé tout de suite dans le domaine public?
Une histoire classique pour presque tous les programmes de bug bounty - la première vague de rapports à frapper l'équipe de sécurité. Dans le même temps, il est important de conserver un SLA acceptable pour les réponses et, en général, les réactions dans les rapports. Nous avons donc décidé de commencer en mode privé, en augmentant progressivement le nombre de chercheurs invités et en déboguant les processus internes correspondants.
Or Ozon lui-même n'a pas l'intention de s'occuper de la sécurité?
Au contraire, nous renforçons l'équipe et prévoyons non seulement de travailler plus activement avec la communauté des hackers, mais également de continuer à créer des processus au sein du S-SDLC, notamment: le contrôle de la sécurité du code, l'analyse de la sécurité des services et la formation des employés, et même de tenir des réunions sur l'infobase. Soit dit en passant, le discours du chef du groupe de sécurité alimentaire Taras Ivashchenko de la précédente rencontre OWASP peut être lu sur notre blog.
Faites le plein de café et bon piratage !