Найди уязвимости Яндекса и получи $5000

Стартовал конкурс на поиск уязвимостей Яндекса. В течение месяца компания будет принимать сообщения о проблемах с безопасностью на сервисах портала. Главный приз – $5000 – получит победитель, имя которого будет объявлено 25 ноября 2011 г. на конференции по информационной безопасности ZeroNights.

Желающие принять участие уже сейчас могут отыскивать уязвимости на сервисах, использующих, хранящих или обрабатывающих конфиденциальную информацию пользователей: к примеру, аутентификационные данные, закрытую переписку, личные фото- и видеоальбомы.

Задачей конкурсантов является поиск всевозможных уязвимостей, способных привести к нарушению конфиденциальности, целостности или доступности данных пользователей. В частности, следует сообщать обо всём, что делает возможными следующие виды атак:

межсайтовый скриптинг (XSS);
межсайтовая подделка запросов (CSRF);
небезопасное управление сессией;
различного рода инъекции;
ошибки в механизмах аутентификации и авторизации, способствующие обходу этих механизмов.

Обнаруженную проблему надо будет детально описать в электронном письме и отправить его на security-report@yandex-team.ru.

Дополнительную информацию о месяце поиска уязвимостей можно найти в блоге компании на конкурс на поиск уязвимостей.