Охота в браузере

Охота за ошибками

Каждый день появляются новые угрозы и векторы атак. Yandex стремится быть в курсе последних достижений в области безопасности, работая с независимыми исследователями безопасности и компаниями. Мы ценим усилия сообщества по созданию более безопасного мира. И мы запустили программу "Охота за ошибками", чтобы улучшить наши продукты. Эта веб-страница связана с одним из наших ключевых продуктов - Яндекс Браузером.

Цель

https://browser.yandex.ru/

Обратите внимание, что целью данной программы является последняя релизная сборка браузера, а не веб-сайт.

Куда и как сообщать об уязвимости

Отправлять сообщения об ошибках лучше всего через специальную форму.

Фокус программы и примерный размер вознаграждений

Все сообщения об уязвимостях должны быть связаны именно с Яндекс Браузером, т.е. должны воспроизводиться именно в нем, но не в браузерах, построенных на платформе Chromium.

Как проверить уязвимость:

  • Узнайте версию Chromium (для этого воспользуйтесь ссылкой: browser://version).
  • Проверьте свою уязвимость на той же версии Chromium.
  • Если проблема не воспроизводится - присылайте её нам.



Вектор атаки Виды уязвимостей Вознаграждение за подробный отчет с PoC (proof-of-concept) кодом Отчет с базовым уровнем качества и детализации
Выход за пределы Chromium-Sandbox Любой способ выйти за пределы ограничений sandbox'а/td> 250 000 руб. 100 000 руб.
Удаленное выполнение кода в браузере Уязвимости, связанные с проблемами в логике работы и порчей памяти 250 000 руб. 100 000 руб.
Обход Same Origin Policy Universal XSS, уязвимости browser-API, уязвимости с кэш-таймингом 170 000 руб. 50 000 руб.
Обход механизмов защиты Yandex Protect Обход механизма "Безопасный WI-FI", обход механизмов Safebrowsing'а 170 000 руб. 50 000 руб.
Обход HTTPS Уязвимости в SSL\TLS реализации, уязвимости в механизмах проверки сертификатов, SSL-strip, который не видит пользотваель 90 000 руб. 30 000 руб.
Обход Content Security Policy Любые способы обхода кроме вариантов через расширения или подмену HTTP/HTTPS заголовков 90 000 руб. 30 000 руб.
Уязвимости во встроенных расширениях Xss, xxe, xsrf, раскрытие чувствительной информации 50 000 руб. 15 000 руб.

Исключения из программы

  • Раскрытие некритичной информации.
  • Любые уязвимости в платформе Chromium - о них следует сообщать в Google's Chromium Vulnerability Reward Program.
  • Уязвимости в third-party компонентах.

Ограничения и политика ответственного разглашения

Яндекс вручает награды только за обнаружение новых уязвимостей.

Участвовать в «Охоте» могут пользователи в возрасте от 14 лет. При этом те, кто младше 18, принимают участие только с письменного согласия родителей.

Сотрудники Яндекса или компаний-партнёров, а также авторы кода, в котором обнаружена уязвимость, не могут участвовать в «Охоте».

Для тестирования и демонстрации уязвимостей можно использовать только свою учётную запись. Взламывать чужие учётные записи ни в коем случае нельзя.

В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. Также, пожалуйста, не размещайте код обнаруженной уязвимости на публично доступных сервисах и ресурсах, чтобы информация не стала доступна третьим лицам.