Яндекс не выплачивает вознаграждение за:
- отчеты сканеров безопасности и других автоматизированных инструментов;
- раскрытие некритичной информации, такой как наименование программного обеспечения или его версии;
- раскрытие публичной пользовательской информации;
- проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации эксплуатации;
- информацию об IP-адресах, DNS-записях и открытых портах Яндекса;
- сообщения об ошибках нулевого дня в TLS;
- отчеты о небезопасных шифрах SSL/TLS без демонстрации эксплуатации;
- отсутствие SSL и других BCP (best current practice);
- физические атаки на собственность Яндекса или его дата-центры;
- проблемы отсутствия механизмов безопасности без демонстрации эксплуатации, которая может затронуть данные пользователей. Например, отсутствие CSRF-токенов, Clickjacking и т. д.;
- Login/Logout CSRF или других действий без доказанного влияния на безопасность;
- открытые перенаправления, но если только проблема не влияет на безопасность сервиса, например, позволяет украсть пользовательский аутентификационный токен. С этой проблемой вы можете претендовать на добавление в Зал Славы;
- Self XSS, XSS с эксплуатацией не в браузерах Яндекс.Браузер, Chrome или Firefox. С этой проблемой вы можете претендовать на добавление в Зал Славы;
- Reflected download, same site scripting и другие атаки с сомнительным влиянием на безопасность сервиса;
- инъекции формул Excel и CSV;
- отсутствие CSP-политик на домене или небезопасная конфигурация CSP;
- XSS и CSRF, которые требуют дополнительных действий от пользователя. Вознаграждение выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий;
- XSS, которая требует внедрения или подделки какого-либо заголовка, например, Host, User-Agent, Referer, Cookie и т. д. С этой проблемой вы можете претендовать на добавление в Зал Славы;
- CORS Misconfiguration на домене mc.yandex.ru, mc.yandex.com и других рекламных доменах без доказанного влияния на безопасность;
- Tabnabbing — target="_blank" в ссылках без доказанного влияния на безопасность;
- Content spoofing, content injection или text injection без доказанного влияния на безопасность;
- отсутствие флагов на нечувствительных файлах cookie;
- наличие атрибута автозаполнения на веб-формах;
- отсутствие Rate Limit без доказанного влияния на безопасность;
- наличие или отсутствие записей SPF и DMARC;
- использование известной уязвимой библиотеки без демонстрации эксплуатации;
- проблемы, для эксплуатации которых требуется использование техник социальной инженерии, сообщений о применении фишинга;
- социальную инженерию сотрудников или подрядчиков Яндекса;
- уязвимости в партнерских сервисах, если не затронуты данные пользователей Яндекса;
- сообщения об уязвимости паролей или парольных политик и других аутентификационных данных пользователей;
- сообщения об уязвимостях, которые найдены во внешних или пользовательских проектах, расположенных в Yandex.Cloud. Для определения принадлежности адреса вы можете воспользоваться протоколом WHOIS, bgb.he.net и т. д.;
- уязвимости на мобильных устройствах, которые для эксплуатации требуют наличие root-привилегий, jailbreak и любой другой модификации приложений или устройств;
- раскрытие Access keys, которые имеют ограничения или зашитые в.apk и не дают доступа к персональным данным;
- уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ;
- атаки, требующие физического доступа к устройству пользователя;
- возможность исполнять скрипты на sandbox-доменах или доменов без сессионных cookies, например, *.yandex.net;
- факт наличия возможности декомпиляции или использования обратной разработки приложений.
За сообщение об ошибке в работе сервисов, расположенных на доменах yandex.net и yandex.st, вознаграждение выплачивается только за уязвимости класса server side.
