Войти
Вектор атаки | Класс уязвимостей | Вознаграждения за подробное сообщение об ошибке | Вознаграждения за базовое сообщение об ошибке | Примеры уязвимостей |
---|---|---|---|---|
Выход за пределы Chromium-Sandbox | Любые способы обхода механизма sandbox | 740 000 руб. | 440 000 руб. | Выполнение произвольных команд в ОС от имени привилегированного процесса браузера |
Удаленное выполнение произвольного кода в браузере | Уязвимости, связанные с проблемами в логике работы и повреждениями памяти | 440 000 руб. | 220 000 руб. | Выполнение кода в контексте renderer-процесса внутри sandbox |
Обход Same Origin Policy | Universal XSS, уязвимости browser-API | 220 000 руб. | 110 000 руб. | UXSS, получение данных произвольных origin'ов |
Уязвимости сервисов и механизмов Я.Браузера | Уязвимости механизмов синхронизации аккаунтов, хранения паролей, уязвимости автозаполнения критичных данных | 220 000 руб. | 110 000 руб. | Получение доступа к данным из менеджера паролей |
Уязвимости реализации NTP (new tab page) | Получения доступа к интерфейсам и/или контексту NTP с последующим доступом к данным пользователя | 150 000 руб. | 70 000 руб. | Получения доступа к API браузера, доступным для NTP, из контекста произвольного сайта |
Обход HTTPS, уязвимости в SSL/TLS реализации, обход механизмов защиты Yandex Protect | Обход механизма «Безопасный WI-FI», обход механизмов Safebrowsing | 150 000 руб. | 70 000 руб. | Обход блокировок или нотификаций сайтов с недоверенными сертификатами |
Подмена элементов пользовательского интерфейса | Address Bar Spoofing, уязвимости подмены отображения нотификаций | 70 000 руб. | 36 000 руб. | Address Bar Spoofing |
Обход Content Security Policy | Любые способы обхода кроме вариантов через расширения или подмену HTTP/HTTPS заголовков | 70 000 руб. | 36 000 руб. | Обход правил из директив CSP для произвольного сайта |
Уязвимости во встроенных расширениях | XSS, XXE, CSRF, раскрытие чувствительной информации | 70 000 руб. | 36 000 руб. | XSS во встроенных расширениях |