Яндекс дарит $5000 за поиск уязвимостей на своих сайтах

В корпоративном блоге Яндекса появилась информация о новом конкурсе. На этот раз пользователям предлагается поработать над поиском уязвимостей в сервисах поисковика. Тому, кто обнаружит самую критичную ошибку, будет вручен приз в размере $5000.


Конкурс продлится целый месяц. Победителя акции объявят на конференции по информационной безопасности ZeroNights 25 ноября.


Условия конкурса

  • искать уязвимости Яндекс предлагает на своих ресурсах, которые находятся на доменах *.yandex.ru, com, com.tr, kz, ua, by, net, st, *.ya.ru и *.moikrug.ru. В зону интересов участников конкурса попадают сервисы, которые используют конфиденциальную информацию интернет-пользователей. К ним относятся, например, сервисы с аутентификацией, проекты для хранения личных фотографий и видеозаписей;
  • в качестве объекта поиска участников конкурса выступают уязвимости любого характера, которые могут привести к нарушению конфиденциальности данных пользователей. В них входят уязвимости, которые могут сделать возможным осуществление следующих типов атак: межсайтового скриптинга (XSS), межсайтовой подделки запросов (CSRF), инъекции, небезопасных управлений сессиями, ошибками в осуществлении авторизации и идентификации и т.д.;
  • не рассматриваются в качестве претендентов на участие конкурсе люди, сообщившие об уязвимостях сетевой инфраструктуры Яндекса, не принадлежащих компании проектов, сервиса Яндекс.Деньги, а также проблемах, связанных с использованием слабых паролей и других пользовательских данных. Будут отклонены и заявки об обнаружении возможности проведения DoS- или DDoS-атак и техник социальной инженерии (фишинга).

Заявки на участие в конкурсе Яндекс просит присылать по адресу security-report@yandex-team.ru. Форма письма свободная, но в нем обязательно должны присутствовать:

  • название сервиса, где обнаружена проблема;
  • название уязвимых функций, скрипта или другого параметра;
  • алгоритм действий, которые нужно выполнить для выявления уязвимости.

Плюсом будет использование в письме скриншотов.


Для облегчения работы Яндекс предлагает желающим поучаствовать в конкурсе свой PGP-ключ для шифрования сообщения.


Ограничения

  • участники могут тестировать и демонстрировать найденную уязвимость только на специально созданной учетной записи;
  • в течение 90 дней запрещается обнародовать третьим лицам информацию о найденных уязвимостях.

Подробную информацию о конкурсе можно узнать на корпоративном блоге Яндекса.


Дополнительная информация:

2 Апреля 2019
Теперь компании, не имеющие собственного адреса (то есть своей торговой точки или офиса) тоже могут быть зарегистрированы в Яндекс.Справочнике...
Подробнее
2 Апреля 2019
Недавно Гугл провел обновления инструментов, используемых для контроля оптимизации версий сайтов, предназначенных для мобильных устройств.
Подробнее
Бесплатная консультация
  • Pаботаем на цели клиента
  • Только актуальные методы и современные инструменты
  • Оплата за результат, а не за громкое имя
Задайте вопрос нашему специалисту
по телефону или через форму
Бесплатная консультация
8 (495) 984-16-34
Ваше имя *
Ваш телефон *
Ваш вопрос