Gectiğimiz gunlerde basına yansıyan bir haberdi. Yandex yetkilileri haberi doğruluyorlar.
Yandex servislerinde bir guvenlik acığı saptayan her kullanıcı, bulduğu acığı Yandex ’e bildirerek Yandex ’ten para odulu kazanabilir.
Başvuru formu
http://contact.yandex.com.tr/security/
Aranacak problemler:
Kullanıcıların kişisel bilgilerine izinsiz erişim sağlayabilecek veya sozkonusu bilgilerin butunluğunun bozulmasına ve/veya onlara erişim kurallarının izinsiz değişmesine olanak sağlayabilecek teknik sorunlar/programlama acıkları.
Web servislerindeki guvenlik acıklarının sınıflandırılması OWASP Top-10 ’a gore, mobil uygulamalardaki acıkların sınıflandırılması ise OWASP Mobile Top-10 ’a gore yapılmalıdır.
Oduller
OWASP Top-10 Kritik servisler Diğer servisler
A01. Harici programlar ile izinsiz giriş (Injection) 1000 ABD Doları 800 ABD Doları
A02. Siteler arası komut dosyası calıştırma (Cross Site Scripting, XSS) – A05. Siteler arası talep sahteciliği (Cross Site Request Forgery, CSRF) 320 ABD Doları 160 ABD Doları
A06. Guvenlik ayarları hataları (Security Misconfiguration) – A10. İzinsiz yonlendirmeler (Unvalidated Redirects and Forwards) 160 ABD Doları 100 ABD Doları
Not: Ozel durumlarda odul miktarı artırılabilir.
Benzer şekilde mobil uygulamalar da; biri Yandex.Haritalar ve Yandex.Mail olmak uzere kritik ve diğeri tum diğer uygulamalar olmak uzere iki gruba ayrılır.
OWASP Mobile Top-10 Kritik uygulamalar Diğer uygulamalar
M01. Guvensiz veri depolama (Insecure Data Storage) – M05. Yanlış yetkilendirme ve doğrulama (Poor Authorization and Authentication) 320 ABD Doları 160 ABD Doları
M06. Yanlış oturum kullanımı (Improper Session Handling) – M08. Benzer kanaldan veri calma (Side Channel Data Leakage) 160 ABD Doları 100 ABD Doları
Not: Ozel durumlarda odul miktarı artırılabilir.
Sıkca Sorulan Sorular
1) Odullendirilmeyen sorun turleri nedir?
Jabber, e-posta ve FTP sunucuları gibi Yandex ’in ağ altyapısında ve Yandex ’le etkileşim icinde bulunan dış site ve servislerde bulunan guvenlik acıkları icin odul verilmez.
Zayıf giriş şifreleri gibi kullanıcı kimlik doğrulama verileri, DoS ve DDoS saldırılarına yol acabilecek her turlu guvenlik acıkları ve kimlik avı (phishing) gibi sosyal muhendislik teknikleriyle ilgili ihbarlar odullendirilmemekle birlikte, bu tur bildiriler icin kullanıcılarımıza Yandex olarak minnettar olacağımızı bildiririz.
2) Bulunan guvenlik acıkları hakkında Yandex nasıl bilgilendirilir?
Bulduğunuz guvenlik acığının yapısını ayrıntılı olarak acıklayan mesajı ozel ihbar formu uzerinden veya [email protected] adresine e-posta ileterek gonderebilirsiniz. Mesajınızda ozellikle:
icinde guvenlik acığını bulduğunuz servisin ismi;
sorunlu komut dosyası veya fonksiyonun, veya iletilen parametrenin ismi;
sozkonusu guvenlik acığının kendini gostermesini sağlamak icin gereken adımlar
gibi başlıkların yeterince net bir şekilde aktarılmasına dikkat etmenizi rica ederiz.
Uygun gorduğunuz takdirde mesajınıza ilgili ekran goruntulerini de ekleyebilirsiniz.
Yandex guvenlik acıklarını bulun odulleri alın
Yandex, Bing ve Diğer Arama Motorları0 Mesaj
●2 Görüntüleme
- ReadBull.net
- Arama Motorları ve Optimizasyonları
- Yandex, Bing ve Diğer Arama Motorları
- Yandex guvenlik acıklarını bulun odulleri alın