Яндекс заплатит за найденные уязвимости в своих сервисах

Компания Яндекс объявила о старте программы “Охоту за ошибками”, нацеленной на  поиск уязвимостей в веб-сервисах и в приложениях Яндекса для iOS и Android. Любой желающий может попробовать найти в них проблемы в безопасности и получить за это денежный приз.  Он составит от 100 до 1000 долларов  в зависимости от серьёзности обнаруженной уязвимости.

Поле деятельности огромно: искать уязвимости можно на сервисах Яндекса в доменах .yandex.ua, .yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.by, yandex.net, yandex.st, .ya.ru, .moikrug.ru (кроме сервиса Народ). В список мобильных приложений вошли Яндекс.Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички и Диск.

Что искать

Любые уязвимости, эксплуатация которых может привести к нарушению конфиденциальности, целостности или доступности данных пользователей. Например уязвимости, которые делают возможными следующие виды атак:
– межсайтовый скриптинг (XSS);
– межсайтовая подделка запросов (CSRF);
– небезопасное управление сессией;
– различного рода инъекции;
– ошибки в механизмах аутентификации и авторизации, способствующие обходу этих механизмов.

Подробности конкурса тут.

Однажды, Яндекс уже привлекал к поиску уязвимостей своих пользователей. В прошлом году был объявлен конкурс, который проходил в течение месяца. В нём приняли участие около полусотни человек, победители получили свои деньги. На этот раз Яндекс не ограничивает исследователей ни во времени, ни в количестве призовых мест.