Компания «Яндекс» запускает очередной конкурс по усилению защиты данных в рамках bug bounty программы «Охота за ошибками». На этот раз исследователям предстоит искать в сервисах компании ошибки и уязвимости типа XSS, которые могут привести к раскрытию чувствительной информации. Конкурс продлится до 31 января 2024 года.

Цель конкурса — поиск XSS-уязвимостей, межсайтового выполнения скриптов. Злоумышленники могут использовать уязвимости такого типа для атаки на приложения и сервисы. Они ищут способы обойти политики безопасности, вставить вредоносный код на веб-страницы и атаковать аккаунты, чтобы совершать действия на сайте от имени пользователей.

Багхантерам советуют уделить особое внимание client-side способам (CORS, Websockets, PostMessages, JSONP, XSSI и аналогичные механизмы браузерного кроссдоменного взаимодействия, которые можно применить при эксплуатации XSS) получения следующих данных:

  • Яндекс 360 (Почта, Диск, Календарь):
    тексты писем и вложения в Почте;
    файлы из Диска.
  • Яндекс ID:
    сохраненные документы;
    доступ к инструменту по управлению данными;
    сценарии, приводящие к контролю над аккаунтом (account takeover).
  • Еком и райдтех (Маркет, Еда, Лавка, Такси, Драйв):
    история поездок и заказов;
    избранные и сохраненные адреса.
  • Финтех:
    история транзакций по картам Пэй;
    баланс Сэйвов;
    реквизиты сохраненных платежных карт.

Во время конкурса награда за все типы XSS-уязвимостей увеличена в несколько раз. Она будет зависеть от критичности уязвимости, простоты ее использования и влияния на безопасность данных пользователей и партнёров. Максимальная награда за критическую уязвимость составит 500 000 рублей.

В компании отмечают, что «Яндекс» борется с XSS-атаками и снижает риски внедрения вредоносного кода с помощью специальных мер. Например, в сервисах «Яндекса» используется Content Security Policy — международный стандарт, который позволяет указывать, из каких источников сайт может загружать скрипты, картинки, шрифты и другой контент. Он затрудняет выполнение на сайте вредоносного кода и блокирует загрузку контента из недостоверных источников.

Также подчеркивается, что для проверки возможных уязвимостей участники конкурса должны использовать только собственные тестовые аккаунты, пытаться получить доступ к информации других пользователей запрещено.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии