Войти
Войти
Войти
Путешествие с Едадилом
Цель:
поиск критичных уязвимостей
Территория охоты:
сервисы Едадила
Срок проведения:
с 20.03.2024 по 30.04.2024
{ О сервисе }
Едадил — сервис, который помогает сэкономить на покупках в любимых магазинах. Пользователь просто загружает акционный чек в приложение и получает кешбэк или промокод.
Задача конкурса: поиск критичных уязвимостей, которые ведут к компрометации сервиса или данных пользователя. Мы хотим найти больше уязвимостей типа RCE, SQLi и критичных IDOR, чтобы усилить защиту персональных данных и обезопасить сервис от фрода.
На что стоит обратить внимание:
- edadeal.ru — главная сайта, отдельный клиент для мобильного приложения
- checks.edadeal.yandex.ru — приложение электрочеков
- cards.edadeal.yandex.ru — карты лояльности
- *.edadeal.ru
- *.edadeal.yandex.ru
- Мобильное приложение
{ Вознаграждения }
На время конкурса мы удваеваем вознаграждения для сервиса Едадил.
При определении награды мы учитываем:
- Критичность и состав потенциально затрагиваемых данных.
- Сложность эксплуатации.
- Объём пользователей, на которых потенциально может воздействовать ошибка.
- Общая критичность уязвимости и её возможное влияние на бизнес.
Стандартные web-уязвимости:
Категория | Вознаграждение |
|---|---|
Remote Code Execution | 750 000 руб. — 1 500 000 руб. |
Инъекции (SQL/noSQL) | 375 000 руб. — 750 000 руб. |
Local files access (LFR, RFI, XXE и т. д. ) | 375 000 руб. — 500 000 руб. |
SSRF | 115 000 руб. — 450 000 руб. |
Client-side (XSS, CSRF, CORS и т. д. ) | 45 000 руб. — 150 000 руб. |
Функциональность бизнес-логики:
Категория | Вознаграждение |
|---|---|
Ошибки бизнес логики работы с кешбэком | 100 000 руб. — 300 000 руб. |
IDOR / Раскрытие чувствительной информации | 100 000 руб. — 350 000 руб. |
Прочие уязвимости | 10 000 руб. — 200 000 руб. |
Раскрытие данных
Нас интересуют любые технические способы раскрытия приватных данных пользователей и особенно чеков с привязкой к данным владельца. Например:
- Возможность получить доступ к чекам другого пользователя.
- Возможность отслеживать активированные промокоды других пользователей.
Манипуляции с кэшбеком
Едадил начисляет кешбэк через ЮMoney. Нас интересуют любые способы обхода действующих правил начисления кешбэка и его вывода. Например:
- Получение кэшбека за один и тот же чек бесконечно.
- Возможность списать кешбэк на свой счёт несколько раз.
Обратите внимание!
Сервис ЮMoney не входит в скоуп программы!
Сервис ЮMoney не входит в скоуп программы!
{ Правила и замечания: }
- SSRF с возможностью чтения ответа мы считаем более критичными, чем «слепые».
- RCE в изолированном/тестовом окружении получают сниженные награды, поскольку оказывают сниженное влияние на бизнес.
- Необязательно обходить CSP (Content Security Policy). Однако в отдельных случаях награда может быть снижена. Например, если XSS требует клик и блокируется CSP (href=javascript:alert).
- Уязвимости в мобильных приложениях попадают в раздел «Прочие уязвимости».
- Яндекс оставляет за собой право самостоятельно определять отчёты, которые соответствуют правилам конкурса.
- Используйте только собственные тестовые аккаунты. Попытки проэксплуатировать ошибку на реальных пользователях могут стать причиной исключения из конкурса.
- Отчёт обязательно должен содержать шаги для воспроизведения.
- Сервис ЮMoney не входит в скоуп «Охоты за ошибками Яндекса». В случае обнаружения уязвимости, ознакомьтесь с условиями здесь.
Удачной охоты!