Перейти к содержимому

Конкурс “Месяц поиска уязвимостей Яндекса”

Объявлен конкурс на поиск уязвимостей поисковой системы Яндекс. Дедлайн 20 ноября 2011 года.

Организатор: Служба информационной безопасности Яндекса.

Уязвимости необходимо искать на сервисах Яндекса, расположенных в доменах:

  • *.yandex.ru, com, com.tr, kz, ua, by, net, st;
  • *.ya.ru.
  • *.moikrug.ru.

А именно — на сервисах, которые хранят, обрабатывают или каким-либо образом используют конфиденциальную информацию пользователей. Примерами конфиденциальной информации могут быть аутентификационные данные, переписка, личные фото- и видеоальбомы.

Что искать

Любые уязвимости, эксплуатация которых может привести к нарушению конфиденциальности, целостности или доступности данных пользователей. Например уязвимости, которые делают возможными следующие виды атак:

  • межсайтовый скриптинг (XSS);
  • межсайтовая подделка запросов (CSRF);
  • небезопасное управление сессией;
  • различного рода инъекции;
  • ошибки в механизмах аутентификации и авторизации, способствующие обходу этих механизмов.

Не принимаются к участию в конкурсе сообщения об уязвимостях:

Наша официальная группа Вконтакте: https://vk.com/vsekonkursyru, наш телеграмм

  • сетевой инфраструктуры Яндекса (почтовые серверы, jabber, FTP-серверы и так далее);
  • сторонних сайтов и сервисов, взаимодействующих с Яндексом;
  • сервиса Яндекс.Деньги;
  • пользовательских аутентификационных данных (например, слабые пароли).
  • А также об уязвимостях, приводящих к возможности совершения DoS- или DDoS-атак, и об использовании техник социальной инженерии, например фишинга.

Как сообщать о найденных уязвимостях

Детальное описание проблемы отправляйте письмом на security-report@yandex-team.ru. Форма свободная, однако обязательно укажите:

  • название сервиса, на котором обнаружена уязвимость;
  • имя уязвимого скрипта, функции или передаваемого параметра;
  • пошаговое описание действий, которые должны быть выполнены для воспроизведения уязвимости.

Вы можете также приложить к письму скриншоты, если считаете, что это повысит наглядность.

Победитель получит $5000

Положение конкурса доступно по этой ссылке: http://download.yandex.ru/company/Yandex_Contest_Policy_MoB.pdf

Еще конкурсы:  Конкурс проектов росписи стен для Сахалина