Стартовал поиск XSS в сервисах Яндекса в рамках Охоты за ошибками

Татьяна Никитина 25 Декабря 2023 - 16:35

Домашние пользователи

Корпорации

Яндекс

Средства поиска уязвимостей

Уязвимости программ

...

Стартовал поиск XSS в сервисах Яндекса в рамках Охоты за ошибками

Компания «Яндекс» объявила новый конкурс в рамках программы «Охота за ошибками» (bug bounty). Участникам предстоит до 31 января искать XSS-уязвимости в различных сервисах; максимальный размер выплат за находки составит 500 тыс. рублей.

Злоумышленники обычно используют возможности XSS (межсайтового скриптинга) для обхода защиты, внедрения вредоносного кода в страницы сайтов, угона аккаунтов. В случае выявления такой уязвимости «Яндекс» обещает устранить ее в приоритетном порядке и в сжатые сроки.

Размеры выплат за XSS всех типов для конкурсантов увеличены в несколько раз. При этом, как и прежде, будут учитываться критичность уязвимости, сложность эксплойта и возможные последствия с точки зрения безопасности данных пользователей и партнеров.

Для поиска уязвимостей участники конкурса должны использовать исключительно собственные тестовые аккаунты. Пытаться получить доступ к данным других пользователей запрещено.

Объекты поиска и особенно интересующие «Яндекс» способы межсайтового скриптинга перечислены в новом разделе сайта «Охота за ошибками».

В минувшем августе в рамках bug bounty «Яндекса» был проведен конкурс на отлов уязвимостей типа IDOR (insecure direct object references, небезопасная прямая ссылка на объект) и технических ошибок, открывающих доступ к конфиденциальной информации. Суммы вознаграждений тоже были временно повышены — до 2,8 млн рублей.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 22 Января 2025 - 21:20

Утечки информации Инсайдеры Малый и средний бизнес Корпорации

Хакеры ищут инсайдеров среди российских разработчиков

По данным Ассоциации разработчиков программных продуктов «Отечественный софт», после введения запрета на использование зарубежных средств защиты злоумышленники начали пытаться получать информацию об уязвимостях в российских системах через инсайдеров.

С 1 января 2025 года в России вступил в силу запрет на использование зарубежных средств защиты в государственных структурах и ряде компаний. Эти меры были установлены двумя президентскими указами.

Запрет охватывает органы государственной власти всех уровней, госкомпании, системообразующие организации и объекты критической информационной инфраструктуры (КИИ). В общей сложности ограничения касаются более 500 тысяч предприятий и организаций.

Специалисты АРПП «Отечественный софт» сообщили ТАСС о росте числа попыток злоумышленников использовать инсайдеров среди российских разработчиков:

«Злоумышленники адаптируются к процессу импортозамещения. Уже зафиксированы попытки хакерских групп привлечь российских разработчиков для поиска уязвимостей в отечественных системах защиты».

Опрошенные ТАСС эксперты отметили, что замещение средств защиты информации прошло успешно, однако в ПО, использующемся в критической инфраструктуре, возникли определенные сложности.

Стартовал поиск XSS в сервисах Яндекса в рамках Охоты за ошибками

Читайте также