Чек-листы безопасности для QA
На работе у нас есть различные виды активности, направленные на выявление security чемпионов и повышение общих ИБ знаний.
Для QA помимо общей документации есть чек-листы тестирования безопасности. Рабочее, по понятным причинам, я выкладывать не буду, но вот то что я делала для разных докладов на внешних конференциях от себя лично хочу приложить.
Что-то возможно пора обновить, но пусть будет ссылками.
* bac-business-logic-checklist
* ru-error-handling-checklist
* ru-find-idor
* ru-auth-qa-checklist
* ru-qa-heisenbug
На работе у нас есть различные виды активности, направленные на выявление security чемпионов и повышение общих ИБ знаний.
Для QA помимо общей документации есть чек-листы тестирования безопасности. Рабочее, по понятным причинам, я выкладывать не буду, но вот то что я делала для разных докладов на внешних конференциях от себя лично хочу приложить.
Что-то возможно пора обновить, но пусть будет ссылками.
* bac-business-logic-checklist
* ru-error-handling-checklist
* ru-find-idor
* ru-auth-qa-checklist
* ru-qa-heisenbug
GitHub
GitHub - VasilyevaAn/bac-business-logic-checklist
Contribute to VasilyevaAn/bac-business-logic-checklist development by creating an account on GitHub.
🔥30🤩2
Итоги годового багхантинга
Пока я жду назначения вознаграждения и выплаты последних принятых багов хочу подвести итоги.
Сдавала баги на:
* https://bugbounty.bi.zone/ - спасибо за удобный фильтр по датам
* https://standoff365.com/
* https://yandex.ru/bugbounty
Буду считать только баги, которые принесли деньги. Так как в этом году были и оплаченные информативы у разных вендоров (что-то новенькое) и принятые без оплаты баги. Что-то странное творилось со статусами.
Всего оплачено: 18 + 35 + 1 = 54 на сумму около 2 млн рублей (для совсем ровной суммы жду назначения хотя бы 1 принятого отчета хотя бы по минимальной вилке).
Баги на миллионы я все еще не сдаю. Что ж... Но у меня появилось больше принятых критов и даже баги, которыми горжусь. Так же стала больше багов замечать случайно, вообще не тестируя, но не всегда у этих продуктов есть багбаунти программа.
В этом году я поменяла стратегию багхантинга и на новых приватках была преимущественно автоматизация и часто дубликаты. В ручную я старалась не просто по быстрому находить проблему (как в том году), а искать вектор атаки и собирать цепочки багов и выбрала вендора в которого решила углубится. Выбор был не очень хорош, а итог печален, но выводы из этого сделаны. Так как багхантинг остается моим хобби, то я выбирала вендора не по деньгам и триажу, а по технологии и интересности продукта. Ну вот что хочется потестить, а не кто точно адекватный. В следующем году планирую выбрать 4 вендора с кем проведу весь следующий год.
Так же если посмотреть по графику выплат и моей активности за 2 года багхантинга, то картина получается одинаковая. С начала года до мая я пытаюсь соблюдать ЗОЖ, ходить на фитнес, не употреблять алкоголь, но в месяц получается принята 1-2 баги на 20-80 тысяч. С мая же начинается активность в багхантинге и нормальные итоговые выплаты за месяц, но проседает ЗОЖ, ну или назову это "жизнь". Как соблюсти баланс активной жизни, правильного питания, физкультуры и багхантинга - пока не знаю и не умею, так как я человек очень увлекающийся и могу просидеть за поиском багов до 4 утра. Времени и сил после работы хватает на что-то одно. Так и балансирую.
Пока я жду назначения вознаграждения и выплаты последних принятых багов хочу подвести итоги.
Сдавала баги на:
* https://bugbounty.bi.zone/ - спасибо за удобный фильтр по датам
* https://standoff365.com/
* https://yandex.ru/bugbounty
Буду считать только баги, которые принесли деньги. Так как в этом году были и оплаченные информативы у разных вендоров (что-то новенькое) и принятые без оплаты баги. Что-то странное творилось со статусами.
Всего оплачено: 18 + 35 + 1 = 54 на сумму около 2 млн рублей (для совсем ровной суммы жду назначения хотя бы 1 принятого отчета хотя бы по минимальной вилке).
Баги на миллионы я все еще не сдаю. Что ж... Но у меня появилось больше принятых критов и даже баги, которыми горжусь. Так же стала больше багов замечать случайно, вообще не тестируя, но не всегда у этих продуктов есть багбаунти программа.
В этом году я поменяла стратегию багхантинга и на новых приватках была преимущественно автоматизация и часто дубликаты. В ручную я старалась не просто по быстрому находить проблему (как в том году), а искать вектор атаки и собирать цепочки багов и выбрала вендора в которого решила углубится. Выбор был не очень хорош, а итог печален, но выводы из этого сделаны. Так как багхантинг остается моим хобби, то я выбирала вендора не по деньгам и триажу, а по технологии и интересности продукта. Ну вот что хочется потестить, а не кто точно адекватный. В следующем году планирую выбрать 4 вендора с кем проведу весь следующий год.
Так же если посмотреть по графику выплат и моей активности за 2 года багхантинга, то картина получается одинаковая. С начала года до мая я пытаюсь соблюдать ЗОЖ, ходить на фитнес, не употреблять алкоголь, но в месяц получается принята 1-2 баги на 20-80 тысяч. С мая же начинается активность в багхантинге и нормальные итоговые выплаты за месяц, но проседает ЗОЖ, ну или назову это "жизнь". Как соблюсти баланс активной жизни, правильного питания, физкультуры и багхантинга - пока не знаю и не умею, так как я человек очень увлекающийся и могу просидеть за поиском багов до 4 утра. Времени и сил после работы хватает на что-то одно. Так и балансирую.
🔥46👍10🤩3❤🔥2🎉2
Профессиональные итоги года:
Захотелось выделить отдельно от багбаунти все хорошее что произошло и помогает повышать знания и опыт. Да-да-да нужны ли еще итоги? - шар говорит да.
Что хорошего случилось на работеи можно об этом сказать публично:
* Перешла из команды девопс в команду ИБ - лучшее событие. Теперь зовусь не devsecops, а appsec, хотя и делаю почти тоже самое, но с большим смыслом.
* Пол года вела обучение поиску, устранению и предотвращению уязвимостей среди QA и разработчиков - выживали не многие, но кто оставался были супер. Получались даже форматы дискуссий, а не просто доклады благодаря высокой активности.
* Одна из целей обучения была воспитать 2 новых аппсеков - 1 самый активный участник со следующего года перейдет к нам в команду (это очень здорово).
Вне рабочая активность:
* Поучаствовала со стороны организаторов в Т-банк CTF: делала разборы заданий прошлых лет в режиме мастер-классов в Иннополисе.
* Прочитала 4 разных докладах на 3 конференциях и 1 митапе: "Проклятие дубликатов - как выжить в багбаунти и не потерять мотивацию" на VK Security Confab, "GitLab + DefectDojo + AI:
как я автоматизировала поиск багов в bug bounty" на OFFZONE, "Broken access control через уязвимости бизнес-логики" на Heisenbug и "Своя игра багбаунти" на Bugs 6.
* Написала автоматизацию багбаунти, которая себя окупила и немного заработала - около 70к. Все еще в разы меньше чем я нахожу руками - планирую развивать это направление в следующем году.Уже есть желание полностью переписать, чтобы проще было мастшабировать и продолжить эксперименты с AI.
* Начала палкой тыкать андроид приложения - надеюсь в следующем году смогу поднять в этом направлении экспертизу.
Захотелось выделить отдельно от багбаунти все хорошее что произошло и помогает повышать знания и опыт. Да-да-да нужны ли еще итоги? - шар говорит да.
Что хорошего случилось на работе
* Перешла из команды девопс в команду ИБ - лучшее событие. Теперь зовусь не devsecops, а appsec, хотя и делаю почти тоже самое, но с большим смыслом.
* Пол года вела обучение поиску, устранению и предотвращению уязвимостей среди QA и разработчиков - выживали не многие, но кто оставался были супер. Получались даже форматы дискуссий, а не просто доклады благодаря высокой активности.
* Одна из целей обучения была воспитать 2 новых аппсеков - 1 самый активный участник со следующего года перейдет к нам в команду (это очень здорово).
Вне рабочая активность:
* Поучаствовала со стороны организаторов в Т-банк CTF: делала разборы заданий прошлых лет в режиме мастер-классов в Иннополисе.
* Прочитала 4 разных докладах на 3 конференциях и 1 митапе: "Проклятие дубликатов - как выжить в багбаунти и не потерять мотивацию" на VK Security Confab, "GitLab + DefectDojo + AI:
как я автоматизировала поиск багов в bug bounty" на OFFZONE, "Broken access control через уязвимости бизнес-логики" на Heisenbug и "Своя игра багбаунти" на Bugs 6.
* Написала автоматизацию багбаунти, которая себя окупила и немного заработала - около 70к. Все еще в разы меньше чем я нахожу руками - планирую развивать это направление в следующем году.
* Начала палкой тыкать андроид приложения - надеюсь в следующем году смогу поднять в этом направлении экспертизу.
❤30👍11🔥6😁1😍1
Душевный мерч и поздравление
Я редко занимаюсь обзором мерча (иначе канал бы сменил направленность), но насколько это обалденно. Нашла всех из bizone bugbounty, а так же Bo0om, Freeman, Brain, W0lFreaK и Artebels. Можно разглядывать как ковер и искать остальных из комьюнити багбаунти.
В мире AI генеративного контента - ручное и душевное целится особенно сильно.
Если Вы подумали "хей, я тоже так хочу", то можно стать топ 10 на площадке bugbounty.bi.zone за 2025 (уже в следующем году за 2026) или стать информационным партнером.
Я редко занимаюсь обзором мерча (иначе канал бы сменил направленность), но насколько это обалденно. Нашла всех из bizone bugbounty, а так же Bo0om, Freeman, Brain, W0lFreaK и Artebels. Можно разглядывать как ковер и искать остальных из комьюнити багбаунти.
В мире AI генеративного контента - ручное и душевное целится особенно сильно.
Если Вы подумали "хей, я тоже так хочу", то можно стать топ 10 на площадке bugbounty.bi.zone за 2025 (уже в следующем году за 2026) или стать информационным партнером.
❤23🔥16👏6🤩1
Начала лежать в сторону багбаунти после праздников
За праздники я отлично отдохнула
Редко выходила из дома, много играла, смотрела фильмы и читала комиксы. Столько за целый год не играю. Ни о чем не жалею.
Из пройденного рекомендую Tainted Grail: The Fall of Avalon и Chicken Police. Так же очень весело оказалось проходить в коопе Saint row 4.
Праздники закончились, пора возвращаться в строй поиска уязвимостей. Удалось пока со скрипом. Вечером 3 часа выбирала куда же мне стоит закопаться на ближайшие пару месяцев: смотрела какие сервисы есть у яндекса, вк, wb и появилось ли что-то новенькое у timeweb. Впала в режим "великой нехочухи" и не смогла определиться. Нашла 1 лоу баг и даже лениво было ее заводить. Сегодня исправилась и тут же получила дубль на отчет c декабря. Забавно.
А как ваш после праздничный настрой?
За праздники я отлично отдохнула
Редко выходила из дома, много играла, смотрела фильмы и читала комиксы. Столько за целый год не играю. Ни о чем не жалею.
Из пройденного рекомендую Tainted Grail: The Fall of Avalon и Chicken Police. Так же очень весело оказалось проходить в коопе Saint row 4.
Праздники закончились, пора возвращаться в строй поиска уязвимостей. Удалось пока со скрипом. Вечером 3 часа выбирала куда же мне стоит закопаться на ближайшие пару месяцев: смотрела какие сервисы есть у яндекса, вк, wb и появилось ли что-то новенькое у timeweb. Впала в режим "великой нехочухи" и не смогла определиться. Нашла 1 лоу баг и даже лениво было ее заводить. Сегодня исправилась и тут же получила дубль на отчет c декабря. Забавно.
А как ваш после праздничный настрой?
👍12❤7
Как я играла и проиграла race condition
Есть фича покупка услуги. Захотелось мне ее потестить на race condition. Кто не знает что такое race condition - это ошибка проектирования многопоточной системы при которой работа зависит от того, в каком порядке выполняются части кода. Подробнее читать тут и тут.
Что обычно приходит на ум?
* Положить на кошелек сумму 1-2 услуг и попробовать списать больше, загнав аккаунт в отрицательный баланс.
* Если транзакция не связана напрямую с заказом, а есть некоторая проверка "оплачено", то попробовать за 1 операцию получить 2 услуги
Решено - сделано. Но тут случилась обратная ситуация и у меня списали 4 раза за 1 услугу. Переиграла себя и уничтожила. Обратно, как я хотела изначально сделать, не получилось. Ушла без баунти голодной. Как-то стало обидно и я пошла объяснять техподдержке проблему: смотрите "1 услуга, а списаний 4 в одно и тоже время". Мы переписывались около 1.5 месяца с учетом лага ответов в почти 1 неделю и мне дали промокод на 20% на следующую покупку. Деньги не вернули. Что ж.
Есть фича покупка услуги. Захотелось мне ее потестить на race condition. Кто не знает что такое race condition - это ошибка проектирования многопоточной системы при которой работа зависит от того, в каком порядке выполняются части кода. Подробнее читать тут и тут.
Что обычно приходит на ум?
* Положить на кошелек сумму 1-2 услуг и попробовать списать больше, загнав аккаунт в отрицательный баланс.
* Если транзакция не связана напрямую с заказом, а есть некоторая проверка "оплачено", то попробовать за 1 операцию получить 2 услуги
Решено - сделано. Но тут случилась обратная ситуация и у меня списали 4 раза за 1 услугу. Переиграла себя и уничтожила. Обратно, как я хотела изначально сделать, не получилось. Ушла без баунти голодной. Как-то стало обидно и я пошла объяснять техподдержке проблему: смотрите "1 услуга, а списаний 4 в одно и тоже время". Мы переписывались около 1.5 месяца с учетом лага ответов в почти 1 неделю и мне дали промокод на 20% на следующую покупку. Деньги не вернули. Что ж.
😁33😢15👍3
Уязвимости, найденные случайно
Очень много багов, даже в багбаунти находятся и сдаются случайно. Зайти в определенный момент, увидеть ошибку и понять ее причину. Выполняя рутинные действия и внимательно наблюдая результат можно получить баунти. Если видите "странное поведение" - присмотритесь к нему, возможно, это будет проблемой безопасности.
Какие это проблемы чаще всего у меня?
* Различные broken access control
* Получение секретов
* И даже XSS. Был у меня опыт, когда я в рамках обучения в одном мессенджере скидывала пейлоады XSS, а они отрабатывали)))
Я думаю, что багбаунти - это удача + навыки + внимательность + скорость. Иногда в разных пропорциях. Бывает, что везет и у замеченных проблем, оказывается багбаунти программа. Некоторые знакомые рассказывают, что вообще все бытовые действия стали через Burp Suite/Caido/любая прокси проделывать.
Так недавно пока переписывалась в телеграмме, увидела проблему и попробовала завести. Правда телеграмм сказал, что это ожидаемое поведение, но это уже другая история)
Очень много багов, даже в багбаунти находятся и сдаются случайно. Зайти в определенный момент, увидеть ошибку и понять ее причину. Выполняя рутинные действия и внимательно наблюдая результат можно получить баунти. Если видите "странное поведение" - присмотритесь к нему, возможно, это будет проблемой безопасности.
Какие это проблемы чаще всего у меня?
* Различные broken access control
* Получение секретов
* И даже XSS. Был у меня опыт, когда я в рамках обучения в одном мессенджере скидывала пейлоады XSS, а они отрабатывали)))
Я думаю, что багбаунти - это удача + навыки + внимательность + скорость. Иногда в разных пропорциях. Бывает, что везет и у замеченных проблем, оказывается багбаунти программа. Некоторые знакомые рассказывают, что вообще все бытовые действия стали через Burp Suite/Caido/любая прокси проделывать.
Так недавно пока переписывалась в телеграмме, увидела проблему и попробовала завести. Правда телеграмм сказал, что это ожидаемое поведение, но это уже другая история)
❤12🔥9👏2🤩2🏆2🥰1🤔1