«Яндекс» запустил второй конкурс программы поиска уязвимостей, которые могут привести к раскрытию чувствительной информации. Конкурс проходит с 25 декабря этого года по 31 января следующего.
В рамках новой программы Bug Bounty компания предлагает исследователям сосредоточиться на поиске уязвимостей в категории XSS (атака, во время которой в выдаваемую веб-системой страницу внедряется вредоносный код) в следующих продуктах:
- Яндекс ID;
- Яндекс 360 (Почта, Диск, Календарь);
- Еком и райдтех (Маркет, Еда, Лавка, Такси, Драйв);
- Финтех.
Компания хочет оценить, как небольшие или экспериментальные сервисы могут влиять на безопасность в ключевых продуктах, и просит исследователей обратить особое внимание на client-side способы получения определенных данных в указанных решениях.
Критические XSS-уязвимости в ID, Почте, Диске оцениваются в 400 – 500 тыс. рублей. XSS в прочих сервисах, с возможностью получения чувствительных данных, стоят 300 – 350 тыс. рублей, Blind XSS, срабатывающие во внутренних «админках», — 250 тыс. XSS в остальных сервисах, без возможности получения чувствительных данных, оцениваются от 100 до 150 тыс. рублей, говорится на странице конкурса.
К поиску уязвимостей допускаются пользователи в возрасте от 14 лет. При этом несовершеннолетние участники могут исследовать уязвимости только с письменного согласия родителей.
