Язык докладаРусскийИсследователь безопасности веб-приложений в компании ONSEC. В данный момент работает над Wallarm.Антон Лопаницын Антон Лопаницын Application whitelisting: стряхнем пыль и посмотрим по-новому!Технологии

1. Зато удобно!
Боты в telegram или самый предсказуемый
доклад, потому что итак все понятно

2. ТЕ

3. ТЕ-ЛЕ

5. Публичные боты

6. Служебные боты

9. Альтернативное решение
/say $(cat /flag)

11. Вжух
https://api.hh.ru/employers?per_page=5000&page=0
Для статистики:
569 ботов

12. Почему работа с API телеги- боль
Попытайтесь загуглить, для примера, описание метода “включения” бота

17. Telethon рулит

18. Боль

19. Ну еще одна боль

21. Чем различаются уязвимости ботов в telegram
и уязвимости веб-приложений?

22. Чем различаются уязвимости ботов в telegram
и уязвимости веб-приложений?
НИЧЕМ, ваш К. О.!

23. В имени пользователя

24. В имени пользователя

25. Отсутствие валидации пользовательских данных при парсинге

26. Хотя это немного не про то, но ладно

27. Отсутствие авторизации пользователей

32. Часто в telegram-ботах есть интеграция
• Teamcity
• Redmine
• Jira
• Системы
контроля версий
• Jenkins
• Nagios
• Zabbix
• Внутренние сервисы
компании

33. Управление отпуском
Бронирование переговорок
Заявки на опоздания
Оповещения о регистрациях
Выполнение каких-то неведомых команд на каких-то неведомых бэкэндах

34. Внедрения запросов в СУБД
А почему нет?
Sqlmap2telegram
Пруфов не будет

35. Выполнение произвольного кода
А почему бы и да?
Бот работает с медиафайлами – значит использует сторонние библиотеки.
Где там эксплойты на ffmpeg или imagemagic?)

36. PHDays 2016

37. PHDays 2016

38. 0day 1day 2day 3day 4day 5day 6day 7day 8day 9day

39. Ну и не обязательно искать уязвимости в боте
Если сообщения можно будет перехватывать

41. Вжух

43. Ввод-вывод
Кодеры – аккуратнее
Ибшники – пробуйте поискать ботов компании, которую аудируете

44. Зато удобно!
@i_bo0om