Стартовал месяц поиска уязвимостей Яндекса

Служба информационной безопасности Яндекса объявила о начале месяца поиска уязвимостей. Теперь все желающие могут попытаться найти уязвимости в сервисах Яндекса.

В течение месяца Яндекс будет принимать сообщения об обнаруженных уязвимостях и 25 ноября 2011 года на конференции по информационной безопасности ZeroNights подведет итоги конкурса. Победитель получит $5000.

Где искать

На сервисах Яндекса, расположенных в доменах:

• *.yandex.ru, com, com.tr, kz, ua, by, net, st;

• *.ya.ru.

• *.moikrug.ru.

А именно — на сервисах, которые хранят, обрабатывают или каким-либо образом используют конфиденциальную информацию пользователей. Примерами конфиденциальной информации могут быть аутентификационные данные, переписка, личные фото- и видеоальбомы.

Что искать

Любые уязвимости, эксплуатация которых может привести к нарушению конфиденциальности, целостности или доступности данных пользователей. Например уязвимости, которые делают возможными следующие виды атак:

• межсайтовый скриптинг (XSS);

• межсайтовая подделка запросов (CSRF);

• небезопасное управление сессией;

• различного рода инъекции;

• ошибки в механизмах аутентификации и авторизации, способствующие обходу этих механизмов.

Читать далее в блоге Яндекса

Журналист, новостной редактор, работает на сайте с 2009 года. Специализация: интернет-маркетинг, SEO, поисковые системы, обзоры профильных мероприятий, отраслевые новости рунета. Языки: румынский, испанский. Кредо: Арфы нет, возьмите бубен.