Диалог охотников за ошибками: поиск багов в платежных системах

Диалог охотников за ошибками: поиск багов в платежных системах

Тимур в формате свободной дискуссии с Денисом Макрушиным, готовы обсудить процесс поиска уязвимостей в платежных процессах и инструментах – тему, которая чаще всего оказывается "за бортом" баг хантеров.

image

Платежные системы – лакомый кусок для злоумышленника, но зачастую недосягаемый скоп для охотников за ошибками, которые находятся за пределами компании-разработчика этих систем. Bug Bounty программы финансовых организаций включают в свой скоп ресурсы, которые находятся на поверхности атаки, и для исследователя довольно сложно дотянуться до внутренних финансовых процессов. Вот и приходится ограничиваться XSS, SSRF в веб-приложении платежной системы.

Тимур Юнусов – старший исследователь по безопасности компании Positive Technologies, член команды PT SWARM знает все о финансовых процессах. Он изучал их особенности и находил типичные ошибки на протяжении последних 8 лет. Последние 2 года является организатором Payment Village на различных конференциях по безопасности.

И вот, Тимур в формате свободной дискуссии с Денисом Макрушиным, готовы обсудить процесс поиска уязвимостей в платежных процессах и инструментах – тему, которая чаще всего оказывается "за бортом" баг хантеров. И в этот раз мы сфокусируемся на обсуждении конкретной исследовательской задачи: как и где искать уязвимости в платежных системах.

В рамках трансляции, которая пройдет на платформе Twitch в понедельник в 7 вечера https://twitch.tv/makrushind мы рассмотрим следующие темы:

  1. что такое платежная система и в чем ее ключевые особенности от прочих таргетов, которые мы привыкли встречать в скоупе Bug Bounty программ.

  2. типичный скоуп: где, что и как мы ищем. Где найти платежную систему для анализа ее безопасности?

  3. Что интересно владельцам программ баг баунти в финансовых организациях?

  4. Как усилить импакт своей находки?

  5. Примеры багов, которые мы обсудим:

  • атаки на округления: округления с помощью карточных транзакций;

  • реплей криптограмм и других транзакционных данных (в этот раз мы покажем новый пример с высоким импактом);

  • обход авторизации и аутентификации: раскрытие платежных данных, недостатки конфигурации процессов обработки транзакций, различные другие сценарии «lost&stolen/card not present» фрода;

  • грубая сила: перебор отп и аутентификационных данных.

Будет много субъективных мыслей, личных историй и ответов на твои вопросы в чате Bug Hunting Hub.


Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей.