10月22日、私たちのオフィスは別のセキュリティMeetupを開催しました。 会議では、さまざまな脆弱性に関する5つのレポートがありました。 エンタープライズおよび関連するビジネスプロセス(Qiwi決済システムなど)でのリバースエンジニアリング、PHPでの安全でないデータの逆シリアル化、モバイルアプリケーションでの2要素認証の信頼度、バグバウンティでお金のために働く、可能性などの問題が開示されました「危険な」ビデオファイルを使用した攻撃。
講演者のプレゼンテーション:
「危険なビデオ。」 マキシム・アンドレーエフ、CloudMail.Ru。
Mail.Ru CloudチームのプログラマーであるMaxim Andreevは、特別に準備されたビデオファイルを使用してSSRF攻撃を実行する方法について報告し、「危険なビデオ」を開始して視聴しなくても、個々のユーザーの匿名化とコンピューターからのファイルの盗用を可能にする方法を説明しました。
ビデオパフォーマンス。
Habréの投稿。
「エンタープライズのリバースエンジニアリング」。 アレクサンダー・シークレット、キウィ。
Alexander SecretsはQiwiの情報セキュリティの専門家です。 彼は、企業のリバースエンジニアリングに関連するビジネスプロセス、およびアプリケーション分析の経験がインフラストラクチャとアプリケーションのセキュリティレベルをどのように改善できるかについて話しました。
ビデオパフォーマンス。
「大きなレンガの壁が木製のフェンスになったとき」または「バグバウンティで1kkを獲得する方法」 キリル・エルマコフ、キウイ。
QIWIグループのCISOであるKirill Ermakov氏は、バグバウンティで100万ドルを稼ぎたい人々が犯す典型的な間違いについて話し、人気のあるインターネットサービスの例で興味深い発見をいくつか示しました。
ビデオパフォーマンス。
「携帯電話、お金、2つの要因。」 Dmitry Evdokimov、DigitalSecurity。
DigitalSecurityの研究センターのディレクターであるDmitry Evdokimovは、モバイルアプリケーションでも使用される2要素認証について語りました。
ビデオパフォーマンス。
「PHP Unexploring Exploiting」。 カスペルスキー研究所、パベル・トポルコフ
Kaspersky LabのPavel Toporkovは、PHPで安全でないデータのデシリアライゼーションを悪用する方法と、実際の状況でこの脆弱性を悪用する正確な方法についてプレゼンテーションを行いました。
ビデオパフォーマンス。
こちらの mitapの写真をご覧ください 。