Служба информационной безопасности Яндекса организует конкурс на поиск уязвимостей поисковой системы Яндекс. Уязвимости необходимо искать на сервисах Яндекса, расположенных в доменах, которые хранят, обрабатывают или каким-либо образом используют конфиденциальную информацию (аутентификационные данные, переписка, личные фото- и видеоальбомы) пользователей, такие , как yandex.ru, com, com.tr, kz, ua, by, net, st; ya.ru; moikrug.ru. Необходимо искать любые уязвимости, эксплуатация которых может привести к нарушению конфиденциальности, целостности или доступности данных пользователей. Например уязвимости, которые делают возможными следующие виды атак: межсайтовый скриптинг (XSS); межсайтовая подделка запросов (CSRF); небезопасное управление сессией; различного рода инъекции; ошибки в механизмах аутентификации и авторизации, способствующие обходу этих механизмов.
Не принимаются к участию в конкурсе сообщения об уязвимостях:
- сетевой инфраструктуры Яндекса (почтовые серверы, jabber, FTP-серверы и так далее);
- сторонних сайтов и сервисов, взаимодействующих с Яндексом;
- сервиса Яндекс.Деньги;
- пользовательских аутентификационных данных (например, слабые пароли).
А также об уязвимостях, приводящих к возможности совершения DoS- или DDoS-атак, и об использовании техник социальной инженерии, например фишинга.
Победитель получит $5000
Последний день конкурса 20 ноября 2011 года.
Подробнее
здесь
