Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Зато удобно! (Утечки из-за ботов в мессенджерах)

220 visualizaciones

Publicado el

Язык докладаРусскийИсследователь безопасности веб-приложений в компании ONSEC. В данный момент работает над Wallarm.Антон Лопаницын Антон Лопаницын Application whitelisting: стряхнем пыль и посмотрим по-новому!Технологии

Publicado en: Tecnología
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Зато удобно! (Утечки из-за ботов в мессенджерах)

  1. 1. Зато удобно! Боты в telegram или самый предсказуемый доклад, потому что итак все понятно
  2. 2. ТЕ
  3. 3. ТЕ-ЛЕ
  4. 4. Публичные боты
  5. 5. Служебные боты
  6. 6. Альтернативное решение /say $(cat /flag)
  7. 7. Вжух https://api.hh.ru/employers?per_page=5000&page=0 Для статистики: 569 ботов
  8. 8. Почему работа с API телеги- боль Попытайтесь загуглить, для примера, описание метода “включения” бота
  9. 9. Telethon рулит
  10. 10. Боль
  11. 11. Ну еще одна боль
  12. 12. Чем различаются уязвимости ботов в telegram и уязвимости веб-приложений?
  13. 13. Чем различаются уязвимости ботов в telegram и уязвимости веб-приложений? НИЧЕМ, ваш К. О.!
  14. 14. В имени пользователя
  15. 15. В имени пользователя
  16. 16. Отсутствие валидации пользовательских данных при парсинге
  17. 17. Хотя это немного не про то, но ладно
  18. 18. Отсутствие авторизации пользователей
  19. 19. Часто в telegram-ботах есть интеграция • Teamcity • Redmine • Jira • Системы контроля версий • Jenkins • Nagios • Zabbix • Внутренние сервисы компании
  20. 20. Управление отпуском Бронирование переговорок Заявки на опоздания Оповещения о регистрациях Выполнение каких-то неведомых команд на каких-то неведомых бэкэндах
  21. 21. Внедрения запросов в СУБД А почему нет? Sqlmap2telegram Пруфов не будет
  22. 22. Выполнение произвольного кода А почему бы и да? Бот работает с медиафайлами – значит использует сторонние библиотеки. Где там эксплойты на ffmpeg или imagemagic?)
  23. 23. PHDays 2016
  24. 24. PHDays 2016
  25. 25. 0day 1day 2day 3day 4day 5day 6day 7day 8day 9day
  26. 26. Ну и не обязательно искать уязвимости в боте Если сообщения можно будет перехватывать
  27. 27. Вжух
  28. 28. Ввод-вывод Кодеры – аккуратнее Ибшники – пробуйте поискать ботов компании, которую аудируете
  29. 29. Зато удобно! @i_bo0om

×