Защита данных:
сезон 2 Merry XSSmas!

Цель: поиск XSS
Срок проведения: с 25.12.2023 по 31.01.2024
{ Что нужно знать о конкурсе }
Яндекс объявляет второй сезон защиты данных. В рамках этого конкурса мы хотим сосредоточиться на поиске уязвимостей в категории XSS.
Мы хотим оценить, как небольшие или экспериментальные сервисы могут влиять на безопасность в ключевых продуктах.
Поэтому просим наших охотников обратить особое внимание на client-side* способы получения следующих данных:
  • Яндекс 360 (Почта, Диск, Календарь)

    — Тексты писем и вложения в Почте

    — Файлы из Диска

  • Yandex ID

    Сохранённые документы

    — Доступ к инструменту по управлению данными

  • Еком и райдтех (Маркет, Еда, Лавка, Такси, Драйв)

    — История поездок и заказов

    — Избранные и сохранённые адреса

  • Финтех

    — История транзакций по картам Пэй

    — Баланс Сэйвов

    — Реквизиты сохранённых платёжных карт

Какие находки будут особо вознаграждены:
Категория
Вознаграждение
XSS в ID, Почте, Диске
400 000 руб. — 500 000 руб.
XSS в прочих сервисах, с возможностью получения чувствительных данных
300 000 руб. — 350 000 руб.
Blind XSS, срабатывающие во внутренних «админках»
250 000 руб.
XSS в остальных сервисах, без возможности получения чувствительных данных
100 000 руб. — 150 000 руб.
Примеры того, какие находки мы ждем:
[1] Привет, команда безопасности!
Я обнаружил XSS на домене x.forum.yandex.ru, откуда с помощью CORS запроса на сервис Y могу получить доступ к заказам другого пользователя.
[2] Оказывается, у сервиса X, где хранятся важные документы, есть WebSocket API, куда можно подключаться с любых yandex.ru доменов. Таким образом, мне нужна была XSS на любом поддомене. И я ее нашел на yyy.yandex.ru/***
{ Важные правила: }
  • Можно и нужно комбинировать несколько уязвимостей или браузерных механик. Например, XSS на одном домене + CORS запрос на другой.
  • *Под client-side способами подразумеваются CORS, Websockets, PostMessages, JSONP, XSSI и аналогичные механизмы браузерного кроссдоменного взаимодействия, которые можно применить при эксплуатации XSS.
  • Необязательно обходить CSP (Content Security Policy). Однако в отдельных случаях награда может быть снижена, например, если XSS требует клик и блокируется CSP (href=javascript:alert).
  • Нельзя атаковать и проверять уязвимости на реальных пользователях, используйте тестовые учетные записи. Попытки нарушить это правило, могут стать причиной исключения из конкурса.
  • Следите за правилами конкурса, отдельные условия могут измениться.
  • Используйте фантазию и накопленные знания о сервисах Яндекса.
Wed Oct 02 2024 18:18:13 GMT+0300 (Moscow Standard Time)