Пожалуй, это самое важное, что отличает программу Яндекса от других – возможность общения напрямую с обратной стороной, без почты, телефонов, телеграфов и прочего ненужного барахла – лично. Это можно было сделать и на прошедшей на днях ZeroNights, и по такому вот приглашению, случайно (ну почти случайно…) выпавшему мне сегодня.

Мы общались за кофе и троллили друг друга с @oxdef, @kyprizel, a2f3x7, Юрой (не знаю твиттер и ник) и пару раз даже пересеклись с @toxo4ka.

Прежде всего, забавно, что изнутри все кажется совсем не так, как снаружи, а снаружи не так, как изнутри (кто бы мог подумать). Наши оппоненты и строгие судьи сидят во вполне себе приличном помещении, полным всяческих схем/паролей/секретов на стенах, которые строго запретили снимать и даже засветили пленки (см. выше, белый кусочек – та самая секретная стена).

Yandex

Другую, незанятую секретными данными стену, разрешили снимать, вот так весело и задорно грамоты ФСБ (тро-ло-ло, – это только календарь) сочетаются с масками Anonymous.

По делу обсуждали мы плюсы/минусы программы вознаграждения Яндекса и отличия ее от других программ, того же Google, PayPal и Facebook. Я пришел с главными вопросами, которые имел по опыту отправки уязвимостей и получил понятные ответы:

Оплата за уязвимости, или за их импакт? То есть стоит ли раскручивать ту же SQLi, или сумма вознаграждения не зависит от того, можно ли через нее писать файлы и делать RCE или только читать одну единственную пустую табличку в базе.

Оплата за уязвимости, даже SQLi в пустой табличке это 25к или 30к (в зависимости от сервиса – критичный/некритичный). НО! Организатор оставляет за собой право повысить сумму вознаграждения по своему усмотрению. Это усмотрение может зависеть от демонстрации эксплуатации, а может и нет.

Являются ли уязвимости, не входящими в таблицу выплат оплачиваемыми? Например, если вдруг нашли RCE от пользователя nobody, считается ли забытый init.d скрипт с правами 777 уязвимостью LPE, оплачивает ли он отдельно? Что если найти конфиденциальные данные про внутренности Яндекса в Гугле? – заплатите?

Нет, не оплачивается. В приведенном примере, скорее всего, было бы повышение суммы выплаты на усмотрение ревьювера (человеческий фактор). За конфиги и прочие вкусности, найденные в Гугле про внутренний Яндекс оплаты нет, но высылайте, конечно %).

Была ли уже практика оплаты суммы, превышающей таблицу выплат?

Да была один раз (как я понял, за крутой client-side дали больше 10k рублей).

Можно ли оспаривать сумму выплаты?

Да (!!!), можно, с четкой аргументацией (кстати, займусь сейчас этим делом для одной из своих багов, о результатах напишу позже в твиттере @d0znpp).

Как долго можно ждать денег после отправки своих паспортных данных и реквизитов в ответ на “письмо счастья” с суммой приза.

До 30 дней.

Будет ли стена участников, в каком виде?

Будет в ближайщее время (до НГ?), – просто список всех, получивших выплаты, без рейтинга, без скоров.

Как различаются уязвимости? Поясню – нашел, например, человек 10 XSS в одном параметре на 10 поддоменах yandex – это 10 раз по 5к руб. или всего 1 раз?

Это всего одна уязвимость. Меряется максимально доступной ручке со стороны Интернета, то есть, если 10 поддоменов дергают один уязвимый скрипт с x.yandex – это одна уязвимость. Тоже самое, если имеет место копипаст уязвимого кода (JS, например) на 10 поддоменах – это одна уязвимость. Также, если 10 разных формочек и 50 страниц дергают 1 уязвимый ajax скрипт – это одна уязвимость и одна оплата. Немного другое дело, когда со стороны пользователя дергаются разные скрипты, но на бэкэнде фактически вызывается один функционал. В этом случае вопрос обсуждаемый, но, скорее всего, это одна уязвимость также (посоветовал ребятам дописать это в политику о конкурсе, иначе не очень понятно).

На этом наш 2,5 часовой троллинг диалог завершился и я поехал домой – довольный и воодушевленный – будем спорить, будем обсуждать %).

Надеюсь, что передал вопросы от большинства участников #YandexBugsBounty, если что-то осталось незаданным, пишите!

Всем удачной охоты!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *