Охота на Доставку

Цель: поиск критичных уязвимостей
Территория охоты: сервисы Доставки
Срок проведения: с 10.06.2024 по 10.07.2024
{ О сервисе }
Яндекс Доставка — сервис, который помогает организовывать доставку посылок.
Задача конкурса: поиск критичных уязвимостей, которые ведут к компрометации сервиса или данных пользователей.
{ На что обратить внимание }
Личный кабинет
Личный кабинет для партнеров Доставки
В личном кабинете имеется функциональность добавления сотрудников с разными ролями, создание заказов на доставку, генерация отчетов и многое другое
Домены:
  • *.dostavka.yandex.ru
Как попробовать?
  1. Зайдите в ваш Яндекс аккаунт.
  2. Перейдите на страницу создания личного кабинета.
  3. Обязательно используйте префикс «Багбаунти» в названии создаваемой компании
    Например, «Багбаунти Тест»
    Чтобы не отвлекать поддержку и чтобы вас не тревожили звонками :)
  4. Начните охоту!
API
API для партнеров Доставки
Помимо UI для B2B партнеров существует специальное API
Домены:
  • *.b2b.taxi.yandex.net
  • *.b2b-authproxy.taxi.yandex.net
Как попробовать?
  1. Получите интеграционный токен
    Взять его можно в том же личном кабинете
  2. Изучите документацию.
    В ней можно подробней узнать про сервис, а также изучить API
  3. Начните охоту!
Мобильное приложение
Секция Доставки в мобильном приложении Яндекс Go
Через приложение можно создавать личные заказы на доставку.
Домены:
  • tc.mobile.yandex.net
Как попробовать?
  1. Наведите камеру на QR-код для загрузки приложения Яндекс Go.
  2. Нажмите на главной на секцию Доставки.
  3. Начните охоту!
    Исследуйте трафик приложения и найдите уязвимость!
Вознаграждения
На время конкурса мы удваиваем вознаграждения для сервиса Доставки.
При определении награды мы учитываем:
  • Критичность и состав потенциально затрагиваемых данных.
  • Сложность эксплуатации.
  • Объём пользователей, на которых потенциально может воздействовать ошибка.
  • Общая критичность уязвимости и её возможное влияние на бизнес.
Стандартные web-уязвимости:
Категория
Вознаграждение
Remote Code Execution
750 000 руб. — 1 500 000 руб.
Инъекции (SQL/noSQL)
375 000 руб. — 750 000 руб.
Local files access (LFR, RFI, XXE и т. д. )
300 000 руб. — 600 000 руб.
SSRF
300 000 руб. — 500 000 руб.
IDOR / Раскрытие чувствительной информации
100 000 руб. — 300 000 руб.
Client-side (XSS, CSRF, CORS и т. д. )
45 000 руб. — 200 000 руб.
Прочие уязвимости
30 000 руб. — 100 000 руб.
Примеры уязвимостей
Нас интересуют любые технические способы раскрытия приватных данных пользователей и курьеров, ошибки бизнес-логики, а также нарушение контроля доступа.

Например:

  • Возможность получить доступ к заказу другого пользователя.
  • Возможность отслеживать перемещения курьера, который выполняет не ваш заказ.
  • Возможность получения данных о заказах бизнес-партнера Доставки.
  • Возможность повышения привилегий в личном кабинете Доставки.
  • Возможность влиять на цену Доставки (совершение бесплатной доставки, либо скидка).

{ Правила и замечания: }
  • Приложение Яндекс Go является общим для многих сервисов Яндекса, однако акция действует только для уязвимостей, связанных с Доставкой.
  • SSRF с возможностью чтения ответа мы считаем более критичными, чем «слепые».
  • RCE в изолированном/тестовом окружении получают сниженные награды, поскольку оказывают сниженное влияние на бизнес.
  • Необязательно обходить CSP (Content Security Policy). Однако в отдельных случаях награда может быть снижена. Например, если XSS требует клик и блокируется CSP (href=javascript:alert).
  • Яндекс оставляет за собой право самостоятельно определять отчёты, которые соответствуют правилам конкурса.
  • Используйте только собственные тестовые аккаунты. Попытки проэксплуатировать ошибку на реальных пользователях могут стать причиной исключения из конкурса.
  • Отчёт обязательно должен содержать шаги для воспроизведения.
Удачной охоты!
Wed Oct 02 2024 18:13:53 GMT+0300 (Moscow Standard Time)