Как построен процесс фаззинга в Яндексе Безопасность
Закончил ВМК МГУ в 2017 году. Дипломная работа на тему фаззинга. С 2014 года участвует в CTF-соревнованиях с командой Bushwhackers. До Яндекса занимался поиском уязвимостей в отделе безопасности критической инфраструктуры Лаборатории Касперского. В свободное время занимается поиском уязвимостей в популярных Open Source-продуктах.
Тезисы
Приложения, перед которыми стоит задача высокой производительности, зачастую пишутся на небезопасных с точки зрения использования памяти языках программирования, таких как С и С++. В Яндексе разрабатывается и используется множество сервисов, написанных на С++, как доступных исключительно для внутренних пользователей, так и опубликованных в Open Source: YDB, YT, userver, etc.
В этом докладе я расскажу о том, как в Яндексе мы автоматизируем поиск уязвимостей порчи памяти при помощи фаззинга в наших сервисах, о том, как мы используем ресурсы Яндекса для ускорения этого процесса, а также внутреннем устройстве нашей платформы для координации фаззинга, какие неожиданные сложности решали в процессе ее создания.
