«Яндекс» начал платить за уязвимости

image

Как и все приличные фирмы, компания «Яндекс» тоже объявила о введении программы по поиску уязвимостей с выплатой вознаграждений. Программа называется «Охота за ошибками» и со всеми подробностями можно познакомиться на официальном сайте и в официальном положении о конкурсе (pdf).

Денежные призы составляют от 3000 до 30000 руб., в зависимости от серьёзности обнаруженной уязвимости. В особых случаях размер награды может быть увеличен. Принять участие в программе могут хакеры из любой страны, сообщать об уязвимостях можно через форму. В течение 90 дней после отправки сообщения об уязвимости в «Яндекс» нельзя раскрывать подробности о ней кому-либо ещё, в том числе публиковать их.

Уязвимости можно искать на веб-сервисах, а также в мобильных приложениях «Яндекса» для iOS и Android, которые так или иначе работают с личной информацией пользователей. Домены веб-сервисов: .yandex.ru, .yandex.com, .yandex.com.tr, .yandex.kz, .yandex.ua, .yandex.by, .yandex.net, .yandex.st, .ya.ru, .moikrug.ru (кроме доменов сервиса «Яндекс.Народ»). Мобильные приложения: Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички, Диск.

Уязвимости в «критичных» сервисах оплачиваются дороже, к ним относятся Паспорт, Почта, Карты, Календарь, Мой Круг, главная страница «Яндекса», страница результатов поиска.

Классификация по OWASP Top-10Критичные сервисыПрочие сервисы
A01. Инъекции 30000 руб. 25000 руб.
A02. Межсайтовый скриптинг – A05. Межсайтовая подделка запросов 10000 руб. 5000 руб.
A06. Ошибки конфигурации веб-окружения – A10. Открытое перенаправление5000 руб. 3000 руб.

К критичным мобильным приложениям относятся Карты, Навигатор, Музыка, Почта, Маркет.

Классификация по OWASP Mobile Top-10Критичные приложенияПрочие приложения
M01. Небезопасное хранилище данных – M05. Недостатки в механизмах аутентификации и авторизации 10000 руб. 5000 руб.
M06. Недостатки в управлении сессией – M08. Утечка данных 5000 руб. 3000 руб.

В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10, для мобильных приложений — OWASP Mobile Top-10.

«Яндекс» уже проводил похожий «конкурс» в прошлом году, тогда в нём приняли участие около 50 человек. Сейчас программа объявлена бессрочной.

Подробнее о программе «Охота за ошибками» можно будет прочитать в журнале «Хакер» № 10/2012, для которого мы взяли интервью у главы отдела информационной безопасности «Яндекcа» — Антона Карпова.

Подробнее: http://www.xakep.ru/post/59356/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

«Яндекс» начал платить за уязвимости | | 2012-09-21 14:41:00 | | Статьи об Интернет безопасности | | Как и все приличные фирмы, компания «Яндекс» тоже объявила о введении программы по поиску уязвимостей с выплатой вознаграждений. Программа называется «Охота за ошибками» и со всеми подробностями можно познакомиться | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: