26.07.2021 | Диалог охотников за ошибками: поиск багов в платежных системах |
Платежные системы – лакомый кусок для злоумышленника, но зачастую недосягаемый скоп для охотников за ошибками, которые находятся за пределами компании-разработчика этих систем. Bug Bounty программы финансовых организаций включают в свой скоп ресурсы, которые находятся на поверхности атаки, и для исследователя довольно сложно дотянуться до внутренних финансовых процессов. Вот и приходится ограничиваться XSS, SSRF в веб-приложении платежной системы. Тимур Юнусов – старший исследователь по безопасности компании Positive Technologies, член команды PT SWARM знает все о финансовых процессах. Он изучал их особенности и находил типичные ошибки на протяжении последних 8 лет. Последние 2 года является организатором Payment Village на различных конференциях по безопасности. И вот, Тимур в формате свободной дискуссии с Денисом Макрушиным, готовы обсудить процесс поиска уязвимостей в платежных процессах и инструментах – тему, которая чаще всего оказывается "за бортом" баг хантеров. И в этот раз мы сфокусируемся на обсуждении конкретной исследовательской задачи: как и где искать уязвимости в платежных системах. В рамках трансляции, которая пройдет на платформе Twitch в понедельник в 7 вечера https://twitch.tv/makrushind мы рассмотрим следующие темы:
Будет много субъективных мыслей, личных историй и ответов на твои вопросы в чате Bug Hunting Hub. |
Проверить безопасность сайта