В корпоративном блоге Яндекса появилась информация о новом конкурсе. На этот раз пользователям предлагается поработать над поиском уязвимостей в сервисах поисковика. Тому, кто обнаружит самую критичную ошибку, будет вручен приз в размере $5000.
Конкурс продлится целый месяц. Победителя акции объявят на конференции по информационной безопасности ZeroNights 25 ноября.
Условия конкурса
- искать уязвимости Яндекс предлагает на своих ресурсах, которые находятся на доменах *.yandex.ru, com, com.tr, kz, ua, by, net, st, *.ya.ru и *.moikrug.ru. В зону интересов участников конкурса попадают сервисы, которые используют конфиденциальную информацию интернет-пользователей. К ним относятся, например, сервисы с аутентификацией, проекты для хранения личных фотографий и видеозаписей;
- в качестве объекта поиска участников конкурса выступают уязвимости любого характера, которые могут привести к нарушению конфиденциальности данных пользователей. В них входят уязвимости, которые могут сделать возможным осуществление следующих типов атак: межсайтового скриптинга (XSS), межсайтовой подделки запросов (CSRF), инъекции, небезопасных управлений сессиями, ошибками в осуществлении авторизации и идентификации и т.д.;
- не рассматриваются в качестве претендентов на участие конкурсе люди, сообщившие об уязвимостях сетевой инфраструктуры Яндекса, не принадлежащих компании проектов, сервиса Яндекс.Деньги, а также проблемах, связанных с использованием слабых паролей и других пользовательских данных. Будут отклонены и заявки об обнаружении возможности проведения DoS- или DDoS-атак и техник социальной инженерии (фишинга).
Заявки на участие в конкурсе Яндекс просит присылать по адресу security-report@yandex-team.ru. Форма письма свободная, но в нем обязательно должны присутствовать:
- название сервиса, где обнаружена проблема;
- название уязвимых функций, скрипта или другого параметра;
- алгоритм действий, которые нужно выполнить для выявления уязвимости.
Плюсом будет использование в письме скриншотов.
Для облегчения работы Яндекс предлагает желающим поучаствовать в конкурсе свой PGP-ключ для шифрования сообщения.
Ограничения
- участники могут тестировать и демонстрировать найденную уязвимость только на специально созданной учетной записи;
- в течение 90 дней запрещается обнародовать третьим лицам информацию о найденных уязвимостях.
Подробную информацию о конкурсе можно узнать на корпоративном блоге Яндекса.
Дополнительная информация: