Mozilla, Google, Facebook, «Яндекс» и некоторые другие компании выплачивают хакерам вознаграждение за уязвимости, найденные в своих продуктах. Сейчас к числу таких компаний присоединилась и Badoo. Правда, программа поощрений за уязвимости в Badoo не будет бессрочной. Акция продлится только месяц: с 19 марта по 19 апреля.
Уязвимости следует искать на сайтах badoo.com, eu1.badoo.com, us1.badoo.com и corp.badoo.com. В конкурсе не участвуют мобильные версии сайта и приложения для социальных сетей. Уязвимости ранжированы от 5-й (500 фунтов) до 1-й категории (50 фунтов) в зависимости от их критичности. Если вы найдёте очень серьёзную экстраординарную уязвимость, то за могут дать и больше, чем 500 фунтов. Категорию критичности определяет жюри.
Например, большинство уязвимостей относятся к категории HTML- или XSS-инъекций. Если найденной уязвимостью вообще нельзя причинить какой-то ущерб (например, можно только изменить вывод страницы), то она получит самую низкую 1-ю категорию.
Более опасны SQL-инъекции. Допустим, вы нашли уязвимость которая «ломает» SQL-запрос, но единственным результатом является лишь неверный показ контента на сайте. Скорее всего, такая уязвимость получит лишь 2-ю категорию. Однако, если при помощи SQL-уязвимости злоумышленник может получить доступ к данным одного или нескольких пользователей, эта уязвимость может получить даже 5-ю категорию. Если с помощью уязвимости можно обновить данные в профиле пользователя, то в зависимости от того, насколько эти данные критичны, уязвимости могут быть присвоена более высокая категория, вплоть до 5-й. Для CSRF-уязвимостей категория тем выше, чем больше может оказаться причинённый ущерб.
Участвовать в конкурсе могут все желающие, кроме сотрудников Badoo. Каждый участник может отправить любое количество заявок. По итогам месячника трое самых активных участника будут поощрены дополнительными призами по 1000 фунтов.
Участники обязуются сохранять найденные уязвимости в тайне до тех пор, пока Badoo не сообщит об их исправлении в таблице заявок, но не дольше чем до 31 мая 2013 года.
Как только вчера было объявлено о начале конкурса, специалисты сразу нашли с десяток уязвимостей, четыре из них уже исправлены.
