Диалог охотников за ошибками: поиск багов в платежных системах

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

25 июля 2021 года

Wikinews-logo-ru.svg

Платежные системы – лакомый кусок для злоумышленника, но зачастую недосягаемый скоп для охотников за ошибками, которые находятся за пределами компании-разработчика этих систем. Bug Bounty программы финансовых организаций включают в свой скоп ресурсы, которые находятся на поверхности атаки, и для исследователя довольно сложно дотянуться до внутренних финансовых процессов. Вот и приходится ограничиваться XSS, SSRF в веб-приложении платежной системы.

Тимур Юнусов – старший исследователь по безопасности компании Positive Technologies, член команды PT SWARM знает все о финансовых процессах. Он изучал их особенности и находил типичные ошибки на протяжении последних 8 лет. Последние 2 года является организатором Payment Village на различных конференциях по безопасности.

И вот, Тимур в формате свободной дискуссии с Денисом Макрушиным, готовы обсудить процесс поиска уязвимостей в платежных процессах и инструментах – тему, которая чаще всего оказывается "за бортом" баг хантеров. И в этот раз мы сфокусируемся на обсуждении конкретной исследовательской задачи: как и где искать уязвимости в платежных системах.

В рамках трансляции, которая пройдет на платформе Twitch в понедельник в 7 вечера https://twitch.tv/makrushind мы рассмотрим следующие темы:


что такое платежная система и в чем ее ключевые особенности от прочих таргетов, которые мы привыкли встречать в скоупе Bug Bounty программ.

типичный скоуп: где, что и как мы ищем. Где найти платежную систему для анализа ее безопасности?

Что интересно владельцам программ баг баунти в финансовых организациях?

Как усилить импакт своей находки?

Примеры багов, которые мы обсудим:



атаки на округления: округления с помощью карточных транзакций;

реплей криптограмм и других транзакционных данных (в этот раз мы покажем новый пример с высоким импактом);

обход авторизации и аутентификации: раскрытие платежных данных, недостатки конфигурации процессов обработки транзакций, различные другие сценарии «lost&stolen/card not present» фрода;

грубая сила: перебор отп и аутентификационных данных.


Будет много субъективных мыслей, личных историй и ответов на твои вопросы в чате Bug Hunting Hub.

 

Источники[править]

Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Диалог охотников за ошибками: поиск багов в платежных системах