Привет!
Теперь у нас есть свой канал про «Охоту за ошибками» — Bug Bounty в Яндексе.
Здесь будут анонсы конкурсов, обновления в наградах или правилах, статистику по отчетам, приглашения на мероприятия и другие полезные новости для багхантеров.
А ещё тут можно будет встретить технический контент от инженеров-безопасников Яндекса — тех, кто лично занимается нашей «Охотой за ошибками» — например, раскрытие интересных отчетов.
Если хотите первыми узнавать о важных запусках, подписывайтесь на канал @yandex_bugbounty
Удачной охоты!🥂
Теперь у нас есть свой канал про «Охоту за ошибками» — Bug Bounty в Яндексе.
Здесь будут анонсы конкурсов, обновления в наградах или правилах, статистику по отчетам, приглашения на мероприятия и другие полезные новости для багхантеров.
А ещё тут можно будет встретить технический контент от инженеров-безопасников Яндекса — тех, кто лично занимается нашей «Охотой за ошибками» — например, раскрытие интересных отчетов.
Если хотите первыми узнавать о важных запусках, подписывайтесь на канал @yandex_bugbounty
Удачной охоты!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👍7❤🔥3🥰1
Знаете ли вы о нашем втором конкурсе по защите данных?
В этот раз мы ищем уязвимости доступа к данным через client-side (XSS, WebSockets, postMessage, JSONP, XSSI и др.).
⚡ Конкурс продлится до 31 января, в это время награда за интересующие уязвимости увеличена в несколько раз. Вы сможете получить до 500 тысяч рублей за обнаружение потенциальной угрозы.
🎁 Все подробности можно прочитать вот здесь.
В этот раз мы ищем уязвимости доступа к данным через client-side (XSS, WebSockets, postMessage, JSONP, XSSI и др.).
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🥰5👏4❤2
А вы видели мерч «Охоты за ошибками»?
Помимо денежной награды (куда без неё!), мы хотим дарить нашим хакерам что-то физическое и осязаемое. Иногда тёплое, иногда плюшевое — а иногда просто забавное.
🎁 В декабре мы отправили первые посылки нашим самым активным охотникам. Идей у нас очень много, вручать будем по разным случаям, так что ждём ваших крутых отчётов!
Удачной охоты!✌
Помимо денежной награды (куда без неё!), мы хотим дарить нашим хакерам что-то физическое и осязаемое. Иногда тёплое, иногда плюшевое — а иногда просто забавное.
Удачной охоты!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥25❤🔥6🤩3👎1
Конкурс, посвящённый поиску XSS, завершён! ✅
За этот месяц мы получили от вас почти сотню XSS. Половину уже разобрали и резолюцию уже объявили, над второй половиной работаем :)
А пока что можем поделиться промежуточными результатами:
> Исследователи смогли найти способы, как добраться до httponly cookies.
> Сервис-воркеры снова в моде. Похоже, потому что о них недавно были доклады на ИБ-митапах.
> XSS на бескуковых доменах в совокупности с другими багами могут представлять вполне весомый импакт. Но подчеркнём: именно в совокупности.
> Если вы не следите за postMessage-«трафиком» (хотя бы таким расширением), то можете упустить приличную долю находок.
Спасибо всем участникам, ждём от вас новых отчётов!⚪️
За этот месяц мы получили от вас почти сотню XSS. Половину уже разобрали и резолюцию уже объявили, над второй половиной работаем :)
А пока что можем поделиться промежуточными результатами:
> Исследователи смогли найти способы, как добраться до httponly cookies.
> Сервис-воркеры снова в моде. Похоже, потому что о них недавно были доклады на ИБ-митапах.
> XSS на бескуковых доменах в совокупности с другими багами могут представлять вполне весомый импакт. Но подчеркнём: именно в совокупности.
> Если вы не следите за postMessage-«трафиком» (хотя бы таким расширением), то можете упустить приличную долю находок.
Спасибо всем участникам, ждём от вас новых отчётов!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23❤10👍10👾3👎1
Привет, охотники!
Мы с приятными новостями: повысили награды в направлении «Умные устройства с Алисой» и заодно обновили приоритеты по устройствам. За критичные отчёты теперь можно получить до 1 млн рублей⚡
За что можно получить такую награду? Например, если вы смогли найти способ удалённо выполнять команды на новой колонке и поморгать светодиодами :)
А если сценарий эксплуатации потребует участия пользователя или локальный доступ к устройству — то такая находка попадёт в категорию, где критичность ниже.
Впрочем, в скоупе программы не только сами устройства и их прошивки, но и сопутствующие веб-сервисы. Так что попробовать поискать баги смогут не только реверсеры и исследователи железа, но и любители веба — и найти что-то на стыке офлайна с онлайном ;)
Удачной охоты!🔥
Мы с приятными новостями: повысили награды в направлении «Умные устройства с Алисой» и заодно обновили приоритеты по устройствам. За критичные отчёты теперь можно получить до 1 млн рублей
За что можно получить такую награду? Например, если вы смогли найти способ удалённо выполнять команды на новой колонке и поморгать светодиодами :)
А если сценарий эксплуатации потребует участия пользователя или локальный доступ к устройству — то такая находка попадёт в категорию, где критичность ниже.
Впрочем, в скоупе программы не только сами устройства и их прошивки, но и сопутствующие веб-сервисы. Так что попробовать поискать баги смогут не только реверсеры и исследователи железа, но и любители веба — и найти что-то на стыке офлайна с онлайном ;)
Удачной охоты!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23❤🔥7🥰4👏2
А вы знали, что сервисы Bookmate и band.link — это тоже Яндекс?
Даже если нет, то теперь точно знаете! Ну и заодно мы внесли их в скоуп Охоты⚡️
Сможете подменить содержимое «Мастера и Маргариты» или пробраться в кабинет блогера?
Ждём крутых отчётов, ваш Фантех Секьюрити
P. S. Как и всегда, используйте только тестовые учётные записи, реальных пользователей атаковать нельзя)
Даже если нет, то теперь точно знаете! Ну и заодно мы внесли их в скоуп Охоты
Сможете подменить содержимое «Мастера и Маргариты» или пробраться в кабинет блогера?
Ждём крутых отчётов, ваш Фантех Секьюрити
P. S. Как и всегда, используйте только тестовые учётные записи, реальных пользователей атаковать нельзя)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22❤7🤩2
Когда уязвимость затрагивает мобильное приложение или, например, Станцию, исследователи при заполнении формы отправки отчёта в поле URL часто указывают 127.0.0.1 или просто https://ya.ru.
Это увеличивает срок рассмотрения отчёта, ведь именно на основе URL наша автоматизация направляет отчёт в команду безопасности нужного сервиса.
Чтобы улучшить этот процесс, мы немного поменяли форму. Теперь там можно задавать категорию: Web, умные устройства или мобильные приложения.
Старайтесь указывать таргет точнее: это позволит быстрее получить ваш отчёт правильным инженерам, а значит, быстрее начать его триажить :)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20👍7😁6🤩3❤1❤🔥1
Привет, охотники! Хотим поделиться основными итогами Охоты за 2023 год 🔥
Если считать 2023 год в цифрах:
–> 70 млн рублей— сумма наград за год (👆 с 40 миллионов в 2022 году)
–> 736 — количество полезных репортов (👆 на 37%)
–> 528 — число исследователей, которые сдали хотя бы один полезный отчёт (👆 на 37%)
–> 378 — количество репортов с денежной наградой (👆 на 24%)
–> Провели крупные конкурсы по поиску XSS и IDOR
На картинке выше можно посмотреть все важные итоги за 2023 год
Оставайтесь с нами — дальше больше :)
Если считать 2023 год в цифрах:
–> 70 млн рублей— сумма наград за год (
–> 736 — количество полезных репортов (
–> 528 — число исследователей, которые сдали хотя бы один полезный отчёт (
–> 378 — количество репортов с денежной наградой (
–> Провели крупные конкурсы по поиску XSS и IDOR
На картинке выше можно посмотреть все важные итоги за 2023 год
Оставайтесь с нами — дальше больше :)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥34👏5❤4🤩2😁1
Please open Telegram to view this post
VIEW IN TELEGRAM
Объявляем старт конкурса «Путешествие с Едадилом», где предлагаем поохотиться на уязвимости в *.edadeal.ru и других областях скоупа конкурса.
Подробности конкурса можно найти тут.
Сможете накрутить кешбэк или, например, узнать, что покупают другие пользователи?
P. S. Как и всегда, используйте только тестовые учётные записи, реальных пользователей атаковать нельзя)
Удачной охоты!
Please open Telegram to view this post
VIEW IN TELEGRAM
Продолжаем нашу охоту за ошибками в Едадиле! 🐊
В первые недели конкурса нам прислали несколько десятков фантастических репортов. Не забывайте, что у нас есть много разных категорий — обратите внимание на поиск SQLi, IDOR, RCE, SSTI 😉
Присылайте ещё больше крутых отчётов!
Если вы продолжите так же репортить, мы подумаем о продлении конкурса 🔥
В первые недели конкурса нам прислали несколько десятков фантастических репортов. Не забывайте, что у нас есть много разных категорий — обратите внимание на поиск SQLi, IDOR, RCE, SSTI 😉
Присылайте ещё больше крутых отчётов!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🔥5👾4
На первом месте в 2024 г по выплатам занимают XSS, как и в прошлом году.
Но попробуйте угадать, что за категория на втором месте)
Но попробуйте угадать, что за категория на втором месте)
Final Results
28%
Business Logic
10%
Injections
3%
Account takeover
7%
SSRF
4%
RCE
49%
IDOR
😎12👏5❤1
Правильный ответ — SSRF!
Да, внезапно эта категория выбилась на уверенное второе место в первом квартале 2024.
Кстати, несколько советов для любителей поискать этот тип уязвимостей:
1. Если вы поймали “отстук” где UserAgent: YandexBot/3.0, то это скорее всего один из наших специальных ботов без сетевых доступов внутри. Но все равно сдавайте, всякое бывает 🙂
2. Если встретили UA python-requests или java — очень вероятно, что это валидный баг!
3. Помните, что иногда резолв происходит прямо с вашего компьютера. Через это проходит почти каждый начинающий багхантер и мы регулярно получаем такие “SSRF”. Обращайте внимание, что запрос пришёл не с вашего же IP 🙂
Удачной охоты!
Да, внезапно эта категория выбилась на уверенное второе место в первом квартале 2024.
Кстати, несколько советов для любителей поискать этот тип уязвимостей:
1. Если вы поймали “отстук” где UserAgent: YandexBot/3.0, то это скорее всего один из наших специальных ботов без сетевых доступов внутри. Но все равно сдавайте, всякое бывает 🙂
2. Если встретили UA python-requests или java — очень вероятно, что это валидный баг!
3. Помните, что иногда резолв происходит прямо с вашего компьютера. Через это проходит почти каждый начинающий багхантер и мы регулярно получаем такие “SSRF”. Обращайте внимание, что запрос пришёл не с вашего же IP 🙂
Удачной охоты!
Мы решили продлить конкурс по поиску уязвимостей в Едадил до 30 апреля!
Ищите баги и получайте повышенные выплаты
Please open Telegram to view this post
VIEW IN TELEGRAM
Объявляем старт конкурса «Автостопом по галактике», где предлагаем поохотиться на ошибки в популярных приложениях Яндекса.
Подробности конкурса можно найти тут.
P. S. Как и всегда, используйте только тестовые учётные записи, реальных пользователей атаковать нельзя)
Удачной охоты!
Please open Telegram to view this post
VIEW IN TELEGRAM
Представляем вам Зал славы 2.0
😯 Теперь за каждую подтверждённую уязвимость вы получаете очки и попадаете в таблицу лидеров!
Долгое время Зал славы был простым списком багхантеров с наградами за репорт. Мы решили обновить Зал славы так, чтобы нахождение в нём стало более почётно и носило соревновательный характер, а имя багхантера стало заметнее.
В Зале славы 2.0 топ «охотников» будет составляться с нуля каждый квартал, чтобы новички не уступали старожилам программы и могли увидеть себя в списке лидеров сезона.
В будущем мы планируем использовать рейтинг для отбора на приватные конкурсы, вручения особых подарков и кое-чего ещё :)
При расчёте рейтинга учитываются несколько параметров, в том числе критичность и валидность сданных уязвимостей. Подробнее расскажем в отдельном посте.
⭐️ Удачной охоты, увидимся в Зале славы!
P. S. Своё имя и аватарку можно поменять вот тут https://id.yandex.ru/personal.
P. P. S. Дубликаты не влияют на очки.
Долгое время Зал славы был простым списком багхантеров с наградами за репорт. Мы решили обновить Зал славы так, чтобы нахождение в нём стало более почётно и носило соревновательный характер, а имя багхантера стало заметнее.
В Зале славы 2.0 топ «охотников» будет составляться с нуля каждый квартал, чтобы новички не уступали старожилам программы и могли увидеть себя в списке лидеров сезона.
В будущем мы планируем использовать рейтинг для отбора на приватные конкурсы, вручения особых подарков и кое-чего ещё :)
При расчёте рейтинга учитываются несколько параметров, в том числе критичность и валидность сданных уязвимостей. Подробнее расскажем в отдельном посте.
P. S. Своё имя и аватарку можно поменять вот тут https://id.yandex.ru/personal.
P. P. S. Дубликаты не влияют на очки.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥33
Псс, мы к вам с посылкой...
⚡️ Объявляем старт конкурса «Охота на Доставку»!
Поохотьтесь на уязвимости в Доставке.
🎁 Удваиваем выплаты до 10 июля!
Как насчет бесплатно оформить доставку?
Подробности конкурса можно найти тут.
Удачной охоты!
Поохотьтесь на уязвимости в Доставке.
Как насчет бесплатно оформить доставку?
Подробности конкурса можно найти тут.
Удачной охоты!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12