Teknolojik Bilgiye Ulaşmanın En Teknolojik Yolu

17 Ocak 2013 Perşembe

Yandex Güvenlik Açığı Bulma Çalışması


Güvenlik Açıkları Bulma Yarışması

Yandex servislerinde bir güvenlik açığı saptayan her kullanıcı, bulduğu açığı Yandex’e bildirerek Yandex’ten para ödülü kazanabilir.

Problemlerin aranacağı alanlar:

  • Kullanıcı adları, giriş şifreleri, özel e-posta yazışmaları, foto ve videolar v.b. gibi kullanıcılara ait kişisel bilgileri doğrudan veya dolaylı olarak işleyen web tabanlı Yandex servisleri ve mobil iOS ve Android uygulamaları;
  • Yandex web servislerinin bulunduğu web alan adları: yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.ua, yandex.by, yandex.net, yandex.st ve ya.ru;
  • Mobil uygulamalar: Yandex.Haritalar, Yandex.Taxi, Yandex.Mail, Yandex.Metro, Yandex.Foto, Yandex.Trains ve Yandex.Disk.

Aranacak problemler:

Kullanıcıların kişisel bilgilerine izinsiz erişim sağlayabilecek veya sözkonusu bilgilerin bütünlüğünün bozulmasına ve/veya onlara erişim kurallarının izinsiz değişmesine olanak sağlayabilecek teknik sorunlar/programlama açıkları.
Web servislerindeki güvenlik açıklarının sınıflandırılması OWASP Top-10’a göre, mobil uygulamalardaki açıkların sınıflandırılması ise OWASP Mobile Top-10’a göre yapılmalıdır.

Ödüller

Ödül olarak alınabilen para miktarları, güvenlik açığının bulunduğu servisin ne kadar kritik olduğuna bağlıdır. Yandex’in servislerinin tamamı, biri Yandex.Pasaport, Yandex.Mail, Yandex.Haritalar, Yandex ana sayfası ve arama sonuçları sayfası olmak üzere kritik ve diğeri tüm diğer servisler olmak üzere, iki ayrı gruba ayrılır.
Rus Rublesi olarak belirlenen ödül miktarlarının aşağıdaki cetvellerde sıralanan ABD Doları karşılıkları takribi olup, ABD Doları olarak alacağınız miktarlar Rusya Federasyonu Merkez Bankasının ilgili ödeme günü döviz kuruna göre değişebilir.
OWASP Top-10Kritik servislerDiğer servisler
A01. Harici programlar ile izinsiz giriş (Injection)1000 ABD Doları800 ABD Doları
A02. Siteler arası komut dosyası çalıştırma (Cross Site Scripting, XSS) – A05. Siteler arası talep sahteciliği (Cross Site Request Forgery, CSRF)320 ABD Doları160 ABD Doları
A06. Güvenlik ayarları hataları (Security Misconfiguration) – A10. İzinsiz yönlendirmeler (Unvalidated Redirects and Forwards)160 ABD Doları100 ABD Doları
Not: Özel durumlarda ödül miktarı artırılabilir.
Benzer şekilde mobil uygulamalar da; biri Yandex.Haritalar ve Yandex.Mail olmak üzere kritik ve diğeri tüm diğer uygulamalar olmak üzere iki gruba ayrılır.
OWASP Mobile Top-10Kritik uygulamalarDiğer uygulamalar
M01. Güvensiz veri depolama (Insecure Data Storage) – M05. Yanlış yetkilendirme ve doğrulama (Poor Authorization and Authentication)320 ABD Doları160 ABD Doları
M06. Yanlış oturum kullanımı (Improper Session Handling) – M08. Benzer kanaldan veri çalma (Side Channel Data Leakage)160 ABD Doları100 ABD Doları
Not: Özel durumlarda ödül miktarı artırılabilir.

Güvenlik açıklarının bildirileceği adresler

Yandex servisleriyle ilgili bulduğunuz güvenlik açıklarını, security-report@yandex-team.ru adresine veya özel ihbar formunu doldurarak Yandex’e bildirebilirsiniz.
Dilerseniz, göndereceğiniz bildiri mesajını PGP anahtarımızın yardımıyla gizleyebilirsiniz.

Kısıtlamalar

Bulunan güvenlik açıklarının gösterimi ve denetlenmesi için kullanıcıların sadece kendi hesaplarını kullanmalarına izin verilir, başka kullanıcılara ait hesaplara girilmesine kesinlikle izin verilmez.
Yandex’teki güvenlik açığının ihbarını takip eden 90 gün içinde sözkonusu güvenlik açığının ayrıntılarına dair her türlü bilginin, herhangi bir platformda yayımlanması dahil olmak üzere üçüncü şahıslarla paylaşılmasına izin verilmez. Ayrıca, anılan bilgilerin benzer şekilde üçüncü şahıslara ulaşmasını engellemek üzere makul her türlü çabanın gösterilmesi beklenecektir. Ayrıntılar için lütfen buraya bakınız.
Yandex’te ve Yandex’in iş ortakları olan şirketlerde çalışanlar ve ayrıca güvenlik açığının bulunduğu kodları yazanlar yarışmaya katılamaz.
Yarışmaya katılan kullanıcılar sadece yeni (daha önce tespit ve ihbar edilmeyen) güvenlik açıklarını ihbar etmekle ödül kazanabilirler.
Yarışmaya katılım şartlarının İngilizce ayrıntıları için lütfen buraya bakınız.

Sıkça Sorulan Sorular

1) Ödüllendirilmeyen sorun türleri nedir?
Jabber, e-posta ve FTP sunucuları gibi Yandex’in ağ altyapısında ve Yandex’le etkileşim içinde bulunan dış site ve servislerde bulunan güvenlik açıkları için ödül verilmez.
Zayıf giriş şifreleri gibi kullanıcı kimlik doğrulama verileri, DoS ve DDoS saldırılarına yol açabilecek her türlü güvenlik açıkları ve kimlik avı (phishing) gibi sosyal mühendislik teknikleriyle ilgili ihbarlar ödüllendirilmemekle birlikte, bu tür bildiriler için kullanıcılarımıza Yandex olarak minnettar olacağımızı bildiririz.
2) Bulunan güvenlik açıkları hakkında Yandex nasıl bilgilendirilir?
Bulduğunuz güvenlik açığının yapısını ayrıntılı olarak açıklayan mesajı özel ihbar formu üzerinden veya security-report@yandex-team.ru adresine e-posta ileterek gönderebilirsiniz. Mesajınızda özellikle:
  • içinde güvenlik açığını bulduğunuz servisin ismi;
  • sorunlu komut dosyası veya fonksiyonun, veya iletilen parametrenin ismi;
  • sözkonusu güvenlik açığının kendini göstermesini sağlamak için gereken adımlar
gibi başlıkların yeterince net bir şekilde aktarılmasına dikkat etmenizi rica ederiz.
Uygun gördüğünüz takdirde mesajınıza ilgili ekran görüntülerini de ekleyebilirsiniz
Paylaşmak Güzeldir
  • Share to Facebook
  • Share to Twitter
  • Share to Google+
  • Share to Stumble Upon
  • Share to Evernote
  • Share to Blogger
  • Share to Email
  • Share to Yahoo Messenger
  • More...

0 yorum

:) :-) :)) =)) :( :-( :(( :d :-d @-) :p :o :>) (o) [-( :-? (p) :-s (m) 8-) :-t :-b b-( :-# =p~ :-$ (b) (f) x-) (k) (h) (c) cheer

 
© 2011 Prof. Dr. Web
Designed by BlogThietKe Cooperated with Duy Pham
Released under Creative Commons 3.0 CC BY-NC 3.0
Posts RSSComments RSS
Back to top