Месяц поиска уязвимостей Яндекса

Рейтинг: +1 Голосов: 1 3900 просмотров
Месяц поиска уязвимостей Яндекса

 Яндекс уделяет большое внимание вопросам безопасности данных своих пользователей. С целью популяризации информационной безопасности в интернете, мы объявляем месяц поиска уязвимостей — предлагаем всем желающим попытаться найти уязвимости в сервисах Яндекса. Победитель получит  $5000. 


В течение месяца мы будем принимать сообщения об обнаруженных уязвимостях и 25 ноября 2011 года на конференции по информационной безопасности 
ZeroNights подведём итоги конкурса.  


Где искать

На сервисах Яндекса, расположенных в доменах:

  • *.yandex.ru, com, com.tr, kz, ua, by, net, st;
  • *.ya.ru.
  • *.moikrug.ru.


А именно — на сервисах, которые хранят, обрабатывают или каким-либо образом используют конфиденциальную информацию пользователей. Примерами конфиденциальной информации могут быть аутентификационные данные, переписка, личные фото- и видеоальбомы. 

Что искать

Любые уязвимости, эксплуатация которых может привести к нарушению конфиденциальности, целостности или доступности данных пользователей. Например уязвимости, которые делают возможными следующие виды атак:

  • межсайтовый скриптинг (XSS);
  • межсайтовая подделка запросов (CSRF);
  • небезопасное управление сессией;
  • различного рода инъекции;
  • ошибки в механизмах аутентификации и авторизации, способствующие обходу этих механизмов. 


Не принимаются к участию в конкурсе сообщения об уязвимостях:

  • сетевой инфраструктуры Яндекса (почтовые серверы, jabber, FTP-серверы и так далее);
  • сторонних сайтов и сервисов, взаимодействующих с Яндексом;
  • сервиса Яндекс.Деньги;
  • пользовательских аутентификационных данных (например, слабые пароли).

А также об уязвимостях, приводящих к возможности совершения DoS- или DDoS-атак, и об использовании техник социальной инженерии, например фишинга.

Но если вы найдёте подобную проблему, пожалуйста, всё равно сообщите нам о ней, мы будем вам очень благодарны. 

Как сообщать о найденных уязвимостях

Детальное описание проблемы отправляйте письмом на 
security-report@yandex-team.ru. Форма свободная, однако, чтобы мы точно вас поняли, обязательно укажите:

  • название сервиса, на котором обнаружена уязвимость;
  • имя уязвимого скрипта, функции или передаваемого параметра;
  • пошаговое описание действий, которые должны быть выполнены для воспроизведения уязвимости.

Вы можете также приложить к письму скриншоты, если считаете, что это повысит наглядность. 

Все желающие могут воспользоваться нашим 
PGP-ключом для шифрования сообщения.

Ограничения

  • тестировать и демонстрировать уязвимость разрешается только на своей тестовой учётной записи. Взламывать чужие учётные записи ни в коем случае нельзя;
  • в течение 90 дней с момента отправки информации об уязвимости в Яндекс нельзя раскрывать подробности о ней третьим сторонам, в том числе публиковать их в открытых или закрытых источниках. В течение этих 90 дней участник также обязуется приложить разумные усилия для того, чтобы информация об уязвимости не стала доступна третьим сторонам.



Что происходит после отправки сообщения

Отправляя нам письмо с описанием уязвимости, вы автоматически становитесь участником конкурса. Мы можем связаться с вами, чтобы уточнить контактные данные.

Итоги конкурса и приз

Группа экспертов из службы информационной безопасности Яндекса проанализирует все присланные уязвимости. 25 ноября 2011 года на конференции по информационной безопасности 
ZeroNights мы подведём итоги конкурса. 
Участник, нашедший и первым сообщивший о самой критической, с нашей точки зрения, уязвимости получит приз — $5000. 
С  победителем конкурса мы свяжемся до объявления итогов и пригласим на конференцию.

Можно ли рассказать всем об обнаруженной уязвимости, если вы не победили

Любой участник конкурса имеет право раскрыть детали обнаруженной уязвимости только спустя 90 календарных дней с момента отправки сообщения в Яндекс. 

Подробнее об участии в конкурсе читайте в 
Положении.


Служба информационной безопасности Яндекса.

Похожие статьи:

СтатьиРоссийское приложение для поиска второй жены выйдет на международный рынок

Комментарии (0)

Нет комментариев. Ваш будет первым!

Голосуем

Самый нужный компонент