Вопросы и ответы
Если вы обнаружили проблему безопасности в одном из сервисов Яндекса, сообщите нам об этом через форму на сайте конкурса «Охота за ошибками».
На этой странице вы найдете ответы на часто задаваемые вопросы.
- За какие уязвимости награда не вручается?
- Что произойдет после отправки сообщения об уязвимости?
- Можно ли получить вознаграждение на счет в PayPal или другой электронной платежной системе?
- Проблемы с назначенной наградой
За какие уязвимости награда не вручается?
- отчеты сканеров безопасности и других автоматизированных инструментов;
- раскрытие некритичной информации, такой как наименование программного обеспечения или его версии;
- раскрытие публичной пользовательской информации;
- проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации эксплуатации;
- информацию об IP-адресах, DNS-записях и открытых портах Яндекса;
- сообщения об ошибках нулевого дня в TLS;
- отчеты о небезопасных шифрах SSL/TLS без демонстрации эксплуатации;
- отсутствие SSL и других BCP (best current practice);
- физические атаки на собственность Яндекса или его дата-центры;
- проблемы отсутствия механизмов безопасности без демонстрации эксплуатации, которая может затронуть данные пользователей. Например, отсутствие CSRF-токенов, Clickjacking и т. д.;
- Login/Logout CSRF или других действий без доказанного влияния на безопасность;
- открытые перенаправления, если только проблема не влияет на безопасность сервиса, например, позволяет украсть пользовательский аутентификационный токен. С этой проблемой вы можете претендовать на добавление в Зал Славы;
- Self XSS, XSS с эксплуатацией не в браузерах Яндекс.Браузер, Chrome или Firefox. С этой проблемой вы можете претендовать на добавление в Зал Славы;
- Reflected download, same site scripting и другие атаки с сомнительным влиянием на безопасность сервиса;
- инъекции формул Excel и CSV;
- отсутствие CSP-политик на домене или небезопасная конфигурация CSP;
- XSS и CSRF, которые требуют дополнительных действий от пользователя. Вознаграждение выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий;
- XSS, которая требует внедрения или подделки какого-либо заголовка, например, Host, User-Agent, Referer, Cookie и т. д. С этой проблемой вы можете претендовать на добавление в Зал Славы;
- CORS Misconfiguration на домене
mc.yandex.tldи других рекламных доменах без доказанного влияния на безопасность; - Tabnabbing —
target="_blank"в ссылках без доказанного влияния на безопасность; - content spoofing, content injection или text injection без доказанного влияния на безопасность;
- отсутствие флагов cookie на нечувствительных файлах cookie;
- наличие атрибута автозаполнения на веб-формах;
- отсутствие Rate Limit без доказанного влияния на безопасность;
- наличие или отсутствие записей SPF и DMARC;
- использование известной уязвимой библиотеки без демонстрации эксплуатации;
- проблемы, для эксплуатации которых требуется использование техник социальной инженерии, сообщений о применении фишинга;
- социальную инженерию сотрудников или подрядчиков Яндекса;
- уязвимости в партнерских сервисах, если не затронуты данные пользователей Яндекса;
- сообщения об уязвимости паролей или парольных политик и других аутентификационных данных пользователей;
- сообщения об уязвимостях, которые найдены во внешних или пользовательских проектах, расположенных в Yandex.Cloud. Для определения принадлежности адреса вы можете воспользоваться протоколом WHOIS, bgb.he.net и т. д.;
- уязвимости на мобильных устройствах, которые для эксплуатации требуют наличие root-привилегий, jailbreak и любой другой модификации приложений или устройств;
- раскрытие Access keys, которые имеют ограничения или зашиты в .apk и не дают доступа к персональным данным;
- уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ;
- атаки, требующие физического доступа к устройству пользователя;
- возможность исполнять скрипты на sandbox-доменах или доменов без сессионных cookies, например,
*.yandex.net; - факт наличия возможности декомпиляции или использования обратной разработки приложений.
За сообщение об ошибке в работе сервисов, расположенных на доменах yandex.net и yandex.st, вознаграждение выплачивается только за уязвимости класса server side.
Данный список может различаться в зависимости от программы. Уточняйте исключения для каждой программы на ее странице в рамках «Охоты за ошибками».
Что произойдет после отправки сообщения об уязвимости?
После отправки сообщения вы получите автоматически сгенерированное письмо с номером вашей заявки — это означает, что Яндекс получил ваше сообщение об ошибке.
Обратите внимание, что сообщение может быть обработано, только если вы получили автоматический ответ с номером вашего сообщения об ошибке. Отправка ответного письма обычно занимает от нескольких минут до часа с момента отправки формы. Если вы не получили такое письмо (не забудьте поискать его в папке «Спам»), то, скорее всего, ваше сообщение до нас не дошло.
Если вы хотите сообщить нам дополнительную информацию об уязвимости, напишите об этом прямо в ответе на полученное письмо.
Наши специалисты обработают ваше обращение и при необходимости свяжутся с вами для уточнения деталей.
Обращаем ваше внимание на то, что Яндекс награждает пользователя, который первым сообщил о проблеме. Если вы обнаружили уязвимость — сообщите нам об этом как можно скорее.
Можно ли получить вознаграждение на счет в PayPal или другой электронной платежной системе?
Яндекс выплачивает вознаграждение через банковские переводы. Участники — нерезиденты РФ и иностранные граждане получают вознаграждение в долларах США по текущему курсу ЦБ РФ.
Проблемы с назначенной наградой
Если у вас возникли проблемы с получением награды или появились вопросы, связанные с заполнением формы финансовой информации, воспользуйтесь нашей формой поддержки.
