Войти
1.1. Что считается валидным отчётом и почему его могут отклонить?
Охота объявлена в разных категориях: веб‑сервисы, мобильные приложения, AI и других. В каждой из них есть свои исключения — пожалуйста, изучите их заранее.
Чтобы мы быстрее проверили уязвимость и назначили награду, просим вас придерживаться такого шаблона:
Качественный отчёт сильно сокращает время триажа.
Наш SLA — 30 рабочих дней от получения отчёта до финального решения. Среднее время ответа за последний год — около 20 рабочих дней.
Такое иногда случается. Вы можете прислать дополнительные комментарии и уточнения в ответном письме, главное — не меняйте тему письма.
Если на почту долго не отвечают, напишите нам в Telegram через фидбэк-бота @yandex_bugbounty_feedback_bot — постараемся помочь.
2.1. Зачем указывать столько данных в реквизитах?
Яндекс выступает налоговым агентом: мы сами удерживаем и перечисляем за вас налог с награды в ФНС. Это экономит ваше время и полностью снимает вопросы о легализации доходов от багбаунти.
Узнать код КЛАДР
Узнать идентификатор ФИАС
2.2. Сколько ждать выплату?
После финального письма все награды попадают в очередь на выплату. Мы отправляем деньги в банки получателей один раз в месяц — ориентировочно с 13 по 15 число. Выплаты за все найденные уязвимости, подтверждённые в прошлом месяце, суммируются и приходят одним переводом.
Если прошло 2 месяца, а награды всё ещё нет, напишите в @yandex_bugbounty_feedback_bot, указав идентификатор выплаты — разберёмся.
2.3. Можно ли получить выплату как ИП или самозанятый?
Пока такой возможности нет, но она может появиться в будущем.
Юридически «Охота за ошибками» — это публичный конкурс, доходы от которого облагаются налогом в 13% (НДФЛ). Яндекс самостоятельно удерживает и перечисляет эту суммуг в ФНС.
Обычно мы не снижаем награду, если CSP-обхода нет в отчете. Но и бонусов за него не даём — за исключением случаев, когда вы нашли новый, неизвестный нам байпас.
Основные исключения — это strict-dynamic директива и XSS по клику. Например, если вы сможете контролировать атрибут `href` в ссылках вида <a href="javascript:alert()">. В таких случаях мы считаем, что обход CSP невозможен, и снижаем награду. Если вы знаете способ обхода в такой ситуации — расскажите нам в отчёте.
3.2. Self‑XSS: когда принимаете, а когда нет?
Обычно мы принимаем Self-XSS, но награда за них будет снижена.
Возможны исключения, импакт и сумму выплаты можно повысить. Например, если Self-XSS срабатывает внутри B2B-кабинета и вы можете доказать, что уязвимость влияет на других пользователей той же организации.
3.3. Найден IDOR, но ID сложный и не брутабельный. Стоит ли отправлять отчёт?
Да, конечно. В таких сценариях вероятность эксплуатации ниже, поэтому и награда будет меньше, чем за перебор простых целочисленных ID.
Подсказка: попробуйте найти способы раскрыть эти сложные ID через другие API-методы сервиса. Если получится выстроить цепочку, сценарий атаки будет считаться полноценным и качественным, а размер награды вырастет.
3.4. Как убедиться, что SSRF валидная?
Если вы подозреваете, что нашли SSRF, используйте наш инструмент SSRF Sheriff. С его помощью вы получите специальный домен для тестирования и сможете проанализировать обращения к нему.