White Hat Sourcing: ищем кандидатов с применением техник тестирования безопасности

После непростительно длительной паузы хочу вернуться к ведению этого блога и рассказать о еще одном своем увлечении (кроме рекрутинга). Речь пойдет о Security или Penetration Testing,
«белых» хакерах, ну и, конечно, о сорсинге.

Где то в 2014-м году во время ведения одного рекрутингового проекта, копаясь в сорскоде вебстраницы одного популярного веб ресурса, я вдруг понял, что могу получить доступ к персональной информации пользователей, которую не должен видеть со своим текущим уровнем доступа. Пытаясь разобраться, как такое возможно, я впервые познакомился с тестированием безопасности и поиском различных уязвимостей в веб-приложениях. Чуть позже я начал читать литературу на эту тему, и одна из первых книг (которую я очень рекомендую) была «The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws». Через какое-то время я понял, что методы и инструменты, которые используются в тестировании безопасности, могут пригодиться в ежедневных сорсинговых проектах. Да и сама по себе та или иная уязвимость может быть весьма полезна в сборе информации о кандидатах. И конечно, здесь очень много вопросов о приватности, личных данных и этичности... Но тут я могу просто посоветовать действовать в соответствии с вашими принципами, и конечно, следовать букве закона (хотя опять-таки, эти законы очень разные в разных странах).

Так какого рода проблемы в безопасности находят «белые» хакеры? Вот только несколько примеров:

- вот здесь «Uber» заплатил 2000 USD исследователю, который нашел способ, как узнать телефон любого из пользователей сервиса, используя его почтовый адрес или UUID;
- а в этом примере уже «Facebook» выплатил вознаграждение в 5000 USD за уязвимость, которая позволяла узнать адрес любого пользователя.

В общем, суммарные выплаты «Facebook» по их bug bounty программе составляет больше 6 миллионов долларов. У «Uber» эта цифра скромнее и составляет около 1,5 миллиона.

Характерно то, что методы, которые используются при поиске таких уязвимостей, могут применяться и в сорсинге. Давайте приведу совсем простой пример, о котором я рассказываю на конференциях, чтобы показать, как это может работать. Представим, что вы ищете бухгалтера с ACCA-сертификацией в Киеве. На самом сайте сертификации есть поисковая форма, вот только проблема – там всего два поля, «Имя» и «Фамилия», и нет возможности задать географию поиска. Больше того, поле «Фамилия» нужно обязательно заполнить. Идея в том, что, если у вас уже есть фамилия кандидата, вы можете проверить, есть ли у него сертификат, но сделать общий поиск нельзя. Что же делать?
Для начала поищем по какой-то популярной фамилии, к примеру, Smith. Ого, всего в мире 865 таких ребят с ACCA-сертификацией.

Но как нам это поможет? Давайте посмотрим, как выглядит url-строка странички с результатами поиска.

http://www.accaglobal.com/my/en/member/find-an-accountant/directory-of-member/results.html?isocountry=UA&FirstName=&Surname=Smith&Location=&inputcountrysuspended=&orgid=ACCA&orby=FNA&ipp=5&pn=1&hid=&requestcount=1

Итак, мы видим, что здесь три параметра, которые могут быть нам интересны. «First Name» и «Surname» – эти два поля мы видели в форме поиска, но есть и что-то новенькое – параметр «Location», который был недоступен через обычный user interface. Давайте проделаем следующий трюк. Уберем Smith из параметра «Surname» и добавим Kiev в параметр «Location».

Получим вот такой url-адрес.

http://www.accaglobal.com/my/en/member/find-an-accountant/directory-of-member/results.html?isocountry=UA&FirstName=&Surname=&Location=Kiev&inputcountrysuspended=&orgid=ACCA&orby=FNA&ipp=5&pn=1&hid=&requestcount=1

И теперь все, что нужно – это запустить этот линк в окошке вашего браузера. Здорово, не правда ли?

Существует определенное заблуждение, что security testing могут делать только люди со специальным образованием или опытом. Действительно, когда речь идет о серьезных проектах, с этим сложно не согласиться. Но со своего опыта могу сказать, что, если в детстве вы обожали Шерлока Холмса, любите различные головоломки и загадки, то вполне можете подойти на роль начинающего специалиста по поиску уязвимостей.

И еще, опять-таки из собственного опыта, иногда тестирование безопасности чем-то похоже на sourcing. У вас есть набор каких-то вводных, и потом, дергая за разные ниточки и собирая дополнительные данные, вам нужно докопаться до нужной информации.

Многие приемы/инструменты в тестировании безопасности могут пригодиться в сорсинге. Пример с ACCA-сертификацией только один из многих. Вот еще несколько направлений, в которых они могут быть вам полезны:

- узнать полный список участников определенного мероприятия;
- узнать, зарегистрирован ли определенный кандидат на каком-то конкретном сайте;
- узнать полный список обладателей определенного сертификата;
- автоматизировать какие-то базовые действия на веб-ресурсах, которые не дают доступа через API (к примеру, добавить 100 кандидатов к определенной позиции  в вашей ATS);
- вытащить информацию из каких-то локальных/нишевых сайтов, которые обычно не индексируют people aggregators.

На самом деле, вариантов очень много и ограничиваются они только вашей креативностью. Ну и, пользуясь случаем, хочу пригласить всех на первый SourceCon в Европе, который состоится в Будапеште 12-13 июня, и где я более детально расскажу о White Hat Sourcing. Для того, чтобы получить дополнительную скидку в 10%, используйте код SCB18SSPKR10 .

Удачного поиска и до встречи в Будапеште!