Стартовал поиск XSS в сервисах Яндекса в рамках Охоты за ошибками

Стартовал поиск XSS в сервисах Яндекса в рамках Охоты за ошибками

Стартовал поиск XSS в сервисах Яндекса в рамках Охоты за ошибками

Компания «Яндекс» объявила новый конкурс в рамках программы «Охота за ошибками» (bug bounty). Участникам предстоит до 31 января искать XSS-уязвимости в различных сервисах; максимальный размер выплат за находки составит 500 тыс. рублей.

Злоумышленники обычно используют возможности XSS (межсайтового скриптинга) для обхода защиты, внедрения вредоносного кода в страницы сайтов, угона аккаунтов. В случае выявления такой уязвимости «Яндекс» обещает устранить ее в приоритетном порядке и в сжатые сроки.

Размеры выплат за XSS всех типов для конкурсантов увеличены в несколько раз. При этом, как и прежде, будут учитываться критичность уязвимости, сложность эксплойта и возможные последствия с точки зрения безопасности данных пользователей и партнеров.

 

Для поиска уязвимостей участники конкурса должны использовать исключительно собственные тестовые аккаунты. Пытаться получить доступ к данным других пользователей запрещено.

Объекты поиска и особенно интересующие «Яндекс» способы межсайтового скриптинга перечислены в новом разделе сайта «Охота за ошибками».

В минувшем августе в рамках bug bounty «Яндекса» был проведен конкурс на отлов уязвимостей типа IDOR (insecure direct object references, небезопасная прямая ссылка на объект) и технических ошибок, открывающих доступ к конфиденциальной информации. Суммы вознаграждений тоже были временно повышены — до 2,8 млн рублей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

UserGate и МУЛЬТИФАКТОР подтвердили совместимость своих решений

Компании UserGate и МУЛЬТИФАКТОР провели испытания и подтвердили, что их продукты успешно работают вместе. Речь идёт о совместимости межсетевого экрана UserGate Next-Generation Firewall (NGFW) и службы каталогов MULTIDIRECTORY. По итогам тестирования был оформлен соответствующий сертификат.

Интеграция позволяет администраторам использовать MULTIDIRECTORY для централизованной аутентификации пользователей и управления учётными записями в инфраструктуре на базе UserGate NGFW.

MULTIDIRECTORY — российская служба каталогов с открытым исходным кодом, адаптированная под Microsoft Active Directory. Её можно использовать для постепенного перехода с AD на отечественное решение. Продукт включён в реестр российского ПО под номером 28333.

UserGate Next-Generation Firewall — это межсетевой экран, совмещающий функции файрвола и системы обнаружения вторжений. Он сертифицирован ФСТЭК России (№ 3905), внесён в реестр российского ПО (№ 1194) и соответствует 4-му уровню доверия.

По словам представителей компаний, интеграция упрощает работу с корпоративными учётными записями и может быть полезна организациям, которые стремятся отказаться от иностранных решений в инфраструктуре.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru