$5000 за уязвимости Яндекса

Начался конкурс на поиск уязвимостей в многочисленных сервисах Яндекса. В течение месяца компания будет принимать сообщения о проблемах с безопасностью своего портала. Главный приз конкурса составляет $5000. Обладателем этой суммы станет победитель, имя которого будет объявлено 25 ноября 2011 г. на конференции по информационной безопасности ZeroNights.

Желающие принять участие в конкурсе уже сейчас начинать искать уязвимости в сервисах, использующих, хранящих или обрабатывающих конфиденциальную информацию пользователей, такую как аутентификационные данные, закрытая переписка, личные фото и видео альбомы.

Главной задачей всех участников конкурса является поиск всевозможных уязвимостей, которые способны привести к нарушению конфиденциальности, целостности или доступности пользовательских данных. Все участники конкурса должны сообщать обо всём, что делает возможными следующие виды атак:

  • межсайтовый скриптинг (XSS);
  • межсайтовая подделка запросов (CSRF);
  • небезопасное управление сессией;
  • различного рода инъекции;
  • ошибки в механизмах аутентификации и авторизации, которые способствуют их обходу.

Обнаруженную проблему участники должны будет самым подробным образом описать в электронном письме, которое необходимо отправить по адресу security-report@yandex-team.ru.

С дополнительной информацией о месяце поиска уязвимостей можно ознакомиться в блоге компании на Я.ру.