我们在HackerOne上启动了一个公共漏洞赏金计划-现在您可以获得在Ozon网站上发现的漏洞的奖励,并同时帮助其服务被朋友,熟人和亲戚使用的公司。在本文中,Ozon信息安全团队回答了有关该程序的最受欢迎的问题。
该计划涉及哪些Ozon资源?
到目前为止,只有主站点,但我们也计划连接其他服务。
我们为发现的错误支付多少费用?
在每种情况下,薪酬金额取决于漏洞的严重程度,报告的质量以及其他标准-最后,我们将逐个确定。详细信息可以在这里找到。
已经有人付款了吗?
是的,3月份该计划秘密进行,我们已经向研究人员支付了约360,000卢布。
我们从r0hack当时的一个私有程序中收到的第一份报告,即缺乏针对CSRF等攻击的防护措施。我们确实没有使用所谓的这种形式的经典防御方法来防御这种攻击。 CSRF令牌(用于签署相应的请求)(请参阅OWASP跨站点请求伪造预防速查表),我们依靠一种相对较新的令牌,但很长时间以来,所有主流浏览器都支持该机制,该机制使用SameSite属性标记会话cookie... 其实质是在正常的跨站点请求期间,此类会话cookie停止传输(取决于属性的值)。这解决了导致CSRF的原始原因。我们发现的问题是,会话cookie在JavaScript的浏览器端也发生了变化(是的,这本身是不好的,我们将很快删除它),并且此属性被重置,从而关闭了保护-结果这给我们带来了不愉快的惊喜,研究人员不得不努力使用PoC和视频向我们证明存在问题。为此特别感谢他!
他们为什么不立即开始在公共领域?
几乎所有漏洞赏金计划的经典故事-安全团队遇到的第一批报告。同时,保持可接受的SLA对于响应以及一般而言在报告中的反应也很重要。因此,我们决定首先从私有模式开始,逐步增加受邀研究人员的数量并调试相应的内部流程。
现在Ozon本身不打算处理安全性?
相反,我们正在加强团队并计划不仅与黑客社区更加积极地合作,而且计划继续在S-SDLC内部构建流程,包括:代码安全控制,服务安全分析和员工培训,甚至召开有关信息库的会议。顺便说一句,在上一次OWASP会议上,食品安全小组负责人Taras Ivashchenko的讲话可以在我们的博客上阅读。
储备咖啡和快乐的黑客活动!