Где искатьНа сервисах Яндекса, расположенных в доменах:
- *.yandex.ru, com, com.tr, kz, ua, by, net, st;
- *.ya.ru.
- *.moikrug.ru.
А именно — на сервисах, которые хранят, обрабатывают или каким-либо образом используют конфиденциальную информацию пользователей. Примерами конфиденциальной информации могут быть аутентификационные данные, переписка, личные фото- и видеоальбомы.
Что искать
Любые уязвимости, эксплуатация которых может привести к нарушению конфиденциальности, целостности или доступности данных пользователей. Например уязвимости, которые делают возможными следующие виды атак:
- межсайтовый скриптинг (XSS);
- межсайтовая подделка запросов (CSRF);
- небезопасное управление сессией;
- различного рода инъекции;
- ошибки в механизмах аутентификации и авторизации, способствующие обходу этих механизмов.
Не принимаются к участию в конкурсе сообщения об уязвимостях:
- сетевой инфраструктуры Яндекса (почтовые серверы, jabber, FTP-серверы и так далее);
- сторонних сайтов и сервисов, взаимодействующих с Яндексом;
- сервиса Яндекс.Деньги;
- пользовательских аутентификационных данных (например, слабые пароли).
А также об уязвимостях, приводящих к возможности совершения DoS- или DDoS-атак, и об использовании техник социальной инженерии, например фишинга.
Но если вы найдёте подобную проблему, пожалуйста, всё равно сообщите нам о ней, мы будем вам очень благодарны.
Как сообщать о найденных уязвимостях
Детальное описание проблемы отправляйте письмом на security-report@yandex-team.ru. Форма свободная, однако, чтобы мы точно вас поняли, обязательно укажите:
- название сервиса, на котором обнаружена уязвимость;
- имя уязвимого скрипта, функции или передаваемого параметра;
- пошаговое описание действий, которые должны быть выполнены для воспроизведения уязвимости.
Вы можете также приложить к письму скриншоты, если считаете, что это повысит наглядность.
Все желающие могут воспользоваться нашим PGP-ключом для шифрования сообщения.
Ограничения
- тестировать и демонстрировать уязвимость разрешается только на своей тестовой учётной записи. Взламывать чужие учётные записи ни в коем случае нельзя;
- в течение 90 дней с момента отправки информации об уязвимости в Яндекс нельзя раскрывать подробности о ней третьим сторонам, в том числе публиковать их в открытых или закрытых источниках. В течение этих 90 дней участник также обязуется приложить разумные усилия для того, чтобы информация об уязвимости не стала доступна третьим сторонам.
Что происходит после отправки сообщенияОтправляя нам письмо с описанием уязвимости, вы автоматически становитесь участником конкурса. Мы можем связаться с вами, чтобы уточнить контактные данные.
Итоги конкурса и призГруппа экспертов из службы информационной безопасности Яндекса проанализирует все присланные уязвимости. 25 ноября 2011 года на конференции по информационной безопасности ZeroNights мы подведём итоги конкурса.
Участник, нашедший и первым сообщивший о самой критической, с нашей точки зрения, уязвимости получит приз — $5000.
С победителем конкурса мы свяжемся до объявления итогов и пригласим на конференцию.
Можно ли рассказать всем об обнаруженной уязвимости, если вы не победилиЛюбой участник конкурса имеет право раскрыть детали обнаруженной уязвимости только спустя 90 календарных дней с момента отправки сообщения в Яндекс.
Подробнее об участии в конкурсе читайте в Положении.
