Диалог охотников за ошибками: поиск багов в платежных системах
Тимур в формате свободной дискуссии с Денисом Макрушиным, готовы обсудить процесс поиска уязвимостей в платежных процессах и инструментах – тему, которая чаще всего оказывается "за бортом" баг хантеров.
В рамках трансляции, которая пройдет на платформе Twitch в понедельник в 7 вечера мы рассмотрим следующие темы:
что такое платежная система и в чем ее ключевые особенности от прочих таргетов, которые мы привыкли встречать в скоупе Bug Bounty программ.
1. что такое платежная система и в чем ее ключевые особенности от прочих таргетов, которые мы привыкли встречать в скоупе Bug Bounty программ.
2. типичный скоуп: где, что и как мы ищем. Где найти платежную систему для анализа ее безопасности?
3. Что интересно владельцам программ баг баунти в финансовых организациях?
4. Как усилить импакт своей находки?
5. Примеры багов, которые мы обсудим:
- атаки на округления: округления с помощью карточных транзакций;
- реплей криптограмм и других транзакционных данных (в этот раз мы покажем новый пример с высоким импактом);
- обход авторизации и аутентификации: раскрытие платежных данных, недостатки конфигурации процессов обработки транзакций, различные другие сценарии «lost&stolen/card not present» фрода;
- грубая сила: перебор отп и аутентификационных данных.
Будет много субъективных мыслей, личных историй и ответов на твои вопросы в чате Bug Hunting Hub.
Тимур в формате свободной дискуссии с Денисом Макрушиным, готовы обсудить процесс поиска уязвимостей в платежных процессах и инструментах – тему, которая чаще всего оказывается "за бортом" баг хантеров.
В рамках трансляции, которая пройдет на платформе Twitch в понедельник в 7 вечера мы рассмотрим следующие темы:
что такое платежная система и в чем ее ключевые особенности от прочих таргетов, которые мы привыкли встречать в скоупе Bug Bounty программ.
1. что такое платежная система и в чем ее ключевые особенности от прочих таргетов, которые мы привыкли встречать в скоупе Bug Bounty программ.
2. типичный скоуп: где, что и как мы ищем. Где найти платежную систему для анализа ее безопасности?
3. Что интересно владельцам программ баг баунти в финансовых организациях?
4. Как усилить импакт своей находки?
5. Примеры багов, которые мы обсудим:
- атаки на округления: округления с помощью карточных транзакций;
- реплей криптограмм и других транзакционных данных (в этот раз мы покажем новый пример с высоким импактом);
- обход авторизации и аутентификации: раскрытие платежных данных, недостатки конфигурации процессов обработки транзакций, различные другие сценарии «lost&stolen/card not present» фрода;
- грубая сила: перебор отп и аутентификационных данных.
Будет много субъективных мыслей, личных историй и ответов на твои вопросы в чате Bug Hunting Hub.