Служба информационной безопасности Яндекса объявила о начале месяца поиска уязвимостей. Теперь все желающие могут попытаться найти уязвимости в сервисах Яндекса.
В течение месяца Яндекс будет принимать сообщения об обнаруженных уязвимостях и 25 ноября 2011 года на конференции по информационной безопасности ZeroNights подведет итоги конкурса. Победитель получит $5000.
Где искать
На сервисах Яндекса, расположенных в доменах:
• *.yandex.ru, com, com.tr, kz, ua, by, net, st;• *.ya.ru.
• *.moikrug.ru.
А именно - на сервисах, которые хранят, обрабатывают или каким-либо образом используют конфиденциальную информацию пользователей. Примерами конфиденциальной информации могут быть аутентификационные данные, переписка, личные фото- и видеоальбомы.
Что искать
Любые уязвимости, эксплуатация которых может привести к нарушению конфиденциальности, целостности или доступности данных пользователей. Например уязвимости, которые делают возможными следующие виды атак:
• межсайтовый скриптинг (XSS);• межсайтовая подделка запросов (CSRF);
• небезопасное управление сессией;
• различного рода инъекции;
• ошибки в механизмах аутентификации и авторизации, способствующие обходу этих механизмов.
Читать далее в блоге Яндекса