搜索产品中的泄漏和漏洞不仅有趣而且有用,而且也是必要的。让外部专家和发烧友参与这类搜索,甚至没有像雇员那样模糊的眼睛,这会更加有用。因此,有一次,我们在QIWI启动了漏洞赏金计划-研究人员写信给我们,介绍了漏洞并获得了奖励,然后我们关闭了这些漏洞。
有几次我们以链接的形式向公众发送了可公开获得的代码,其中包含具有敏感信息的存储库。泄漏的原因可能如下:
开发人员使用“生产”服务的配置(而不是测试环境)为自己编写了一个测试代码示例;
管理员上传了用于自动化和数据库迁移的脚本-潜在的敏感信息;
学员在不知不觉中将代码发布到他的公共资源库中,认为这没有风险。
同时,这种泄漏可能来自公司中的开发人员以及已经退出的开发人员。例如,有些情况下,不再为公司工作的员工将代码发布在一个开放的存储库中,他曾经在闲暇时间带回家工作。看起来-听起来无害,但在这样的代码中,很可能会有来自数据库,网络配置或某种业务逻辑的密码-通常,对公司敏感的信息不应公开。
正如实践所示,大多数公司已经受到良好保护,免受外部威胁的侵害,而内部泄漏可能会造成最大的伤害。而且,这种泄漏可能是恶意的,也可能是偶然的-这正是我们上面所说的。
— : Firewall, SOC, IDS/IPS , — . , , — .
. , , .
QIWI Leak-Search — , Github .
— .
, : - , -, , . , — .
, . . -, , .
Leak-Search , , , . Fortune . , , , .
, . -: , , . , - , : , — .
, Leak-Search. “” ERP- — ? - “” IoT- — , ? “ ” — . .
QIWI Leak-Search
— . — , -, — , , . .
, , — , , , , , — .
, — . , - , — , .
. , , , .
Leak-Search , . :
— — smtp, Dockerfile, proxypass, Authorization;
— — com.qiwi.processing.common;
— — int.qiwi.com, 10.4.3.255;
— , — QIWISECRET_KEY, qiwiToken.
, , . - — , .
. , . Open Source: - . .
, , — «» .
StackOverflow — , , . . , , Github. , .
, , , - , , - Github — , . .
, ? , , . , , .
— killer feature . Leak-Search : , . -, . -, , , .
, , open source, , Github, . , Leak-Search “” .
, . Github — Leak-Search Gist. - Pastebin Gitlab, BitBucket. API.
, , — false positive, false negative. , .
“ ” . , , — , .
, Leak-Search . . Leak-Search , — .
, , Leak-Search , “”. — , , , -, .
, . , , . , — .
, , , , , IT, .
- , , — , .