Компания Яндекс объявила о старте программы “Охоту за ошибками”, нацеленной на поиск уязвимостей в веб-сервисах и в приложениях Яндекса для iOS и Android. Любой желающий может попробовать найти в них проблемы в безопасности и получить за это денежный приз. Он составит от 100 до 1000 долларов в зависимости от серьёзности обнаруженной уязвимости.
Поле деятельности огромно: искать уязвимости можно на сервисах Яндекса в доменах .yandex.ua, .yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.by, yandex.net, yandex.st, .ya.ru, .moikrug.ru (кроме сервиса Народ). В список мобильных приложений вошли Яндекс.Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички и Диск.
Что искать
Любые уязвимости, эксплуатация которых может привести к нарушению конфиденциальности, целостности или доступности данных пользователей. Например уязвимости, которые делают возможными следующие виды атак:
– межсайтовый скриптинг (XSS);
– межсайтовая подделка запросов (CSRF);
– небезопасное управление сессией;
– различного рода инъекции;
– ошибки в механизмах аутентификации и авторизации, способствующие обходу этих механизмов.
Подробности конкурса тут.
Однажды, Яндекс уже привлекал к поиску уязвимостей своих пользователей. В прошлом году был объявлен конкурс, который проходил в течение месяца. В нём приняли участие около полусотни человек, победители получили свои деньги. На этот раз Яндекс не ограничивает исследователей ни во времени, ни в количестве призовых мест.