- Katılım
- 26 Ocak 2005
- Mesajlar
- 7,944
- Reaction score
- 248
Geçtiğimiz günlerde basına yansıyan bir haberdi. Yandex yetkilileri haberi doğruluyorlar.
Yandex servislerinde bir güvenlik açığı saptayan her kullanıcı, bulduğu açığı Yandex’e bildirerek Yandex’ten para ödülü kazanabilir.
Başvuru formu
http://contact.yandex.com.tr/security/
Aranacak problemler:
Kullanıcıların kişisel bilgilerine izinsiz erişim sağlayabilecek veya sözkonusu bilgilerin bütünlüğünün bozulmasına ve/veya onlara erişim kurallarının izinsiz değişmesine olanak sağlayabilecek teknik sorunlar/programlama açıkları.
Web servislerindeki güvenlik açıklarının sınıflandırılması OWASP Top-10’a göre, mobil uygulamalardaki açıkların sınıflandırılması ise OWASP Mobile Top-10’a göre yapılmalıdır.
Ödüller
OWASP Top-10 Kritik servisler Diğer servisler
A01. Harici programlar ile izinsiz giriş (Injection) 1000 ABD Doları 800 ABD Doları
A02. Siteler arası komut dosyası çalıştırma (Cross Site Scripting, XSS) – A05. Siteler arası talep sahteciliği (Cross Site Request Forgery, CSRF) 320 ABD Doları 160 ABD Doları
A06. Güvenlik ayarları hataları (Security Misconfiguration) – A10. İzinsiz yönlendirmeler (Unvalidated Redirects and Forwards) 160 ABD Doları 100 ABD Doları
Not: Özel durumlarda ödül miktarı artırılabilir.
Benzer şekilde mobil uygulamalar da; biri Yandex.Haritalar ve Yandex.Mail olmak üzere kritik ve diğeri tüm diğer uygulamalar olmak üzere iki gruba ayrılır.
OWASP Mobile Top-10 Kritik uygulamalar Diğer uygulamalar
M01. Güvensiz veri depolama (Insecure Data Storage) – M05. Yanlış yetkilendirme ve doğrulama (Poor Authorization and Authentication) 320 ABD Doları 160 ABD Doları
M06. Yanlış oturum kullanımı (Improper Session Handling) – M08. Benzer kanaldan veri çalma (Side Channel Data Leakage) 160 ABD Doları 100 ABD Doları
Not: Özel durumlarda ödül miktarı artırılabilir.
Sıkça Sorulan Sorular
1) Ödüllendirilmeyen sorun türleri nedir?
Jabber, e-posta ve FTP sunucuları gibi Yandex’in ağ altyapısında ve Yandex’le etkileşim içinde bulunan dış site ve servislerde bulunan güvenlik açıkları için ödül verilmez.
Zayıf giriş şifreleri gibi kullanıcı kimlik doğrulama verileri, DoS ve DDoS saldırılarına yol açabilecek her türlü güvenlik açıkları ve kimlik avı (phishing) gibi sosyal mühendislik teknikleriyle ilgili ihbarlar ödüllendirilmemekle birlikte, bu tür bildiriler için kullanıcılarımıza Yandex olarak minnettar olacağımızı bildiririz.
2) Bulunan güvenlik açıkları hakkında Yandex nasıl bilgilendirilir?
Bulduğunuz güvenlik açığının yapısını ayrıntılı olarak açıklayan mesajı özel ihbar formu üzerinden veya [email protected] adresine e-posta ileterek gönderebilirsiniz. Mesajınızda özellikle:
içinde güvenlik açığını bulduğunuz servisin ismi;
sorunlu komut dosyası veya fonksiyonun, veya iletilen parametrenin ismi;
sözkonusu güvenlik açığının kendini göstermesini sağlamak için gereken adımlar
gibi başlıkların yeterince net bir şekilde aktarılmasına dikkat etmenizi rica ederiz.
Uygun gördüğünüz takdirde mesajınıza ilgili ekran görüntülerini de ekleyebilirsiniz.
Yandex servislerinde bir güvenlik açığı saptayan her kullanıcı, bulduğu açığı Yandex’e bildirerek Yandex’ten para ödülü kazanabilir.
Başvuru formu
http://contact.yandex.com.tr/security/
Aranacak problemler:
Kullanıcıların kişisel bilgilerine izinsiz erişim sağlayabilecek veya sözkonusu bilgilerin bütünlüğünün bozulmasına ve/veya onlara erişim kurallarının izinsiz değişmesine olanak sağlayabilecek teknik sorunlar/programlama açıkları.
Web servislerindeki güvenlik açıklarının sınıflandırılması OWASP Top-10’a göre, mobil uygulamalardaki açıkların sınıflandırılması ise OWASP Mobile Top-10’a göre yapılmalıdır.
Ödüller
OWASP Top-10 Kritik servisler Diğer servisler
A01. Harici programlar ile izinsiz giriş (Injection) 1000 ABD Doları 800 ABD Doları
A02. Siteler arası komut dosyası çalıştırma (Cross Site Scripting, XSS) – A05. Siteler arası talep sahteciliği (Cross Site Request Forgery, CSRF) 320 ABD Doları 160 ABD Doları
A06. Güvenlik ayarları hataları (Security Misconfiguration) – A10. İzinsiz yönlendirmeler (Unvalidated Redirects and Forwards) 160 ABD Doları 100 ABD Doları
Not: Özel durumlarda ödül miktarı artırılabilir.
Benzer şekilde mobil uygulamalar da; biri Yandex.Haritalar ve Yandex.Mail olmak üzere kritik ve diğeri tüm diğer uygulamalar olmak üzere iki gruba ayrılır.
OWASP Mobile Top-10 Kritik uygulamalar Diğer uygulamalar
M01. Güvensiz veri depolama (Insecure Data Storage) – M05. Yanlış yetkilendirme ve doğrulama (Poor Authorization and Authentication) 320 ABD Doları 160 ABD Doları
M06. Yanlış oturum kullanımı (Improper Session Handling) – M08. Benzer kanaldan veri çalma (Side Channel Data Leakage) 160 ABD Doları 100 ABD Doları
Not: Özel durumlarda ödül miktarı artırılabilir.
Sıkça Sorulan Sorular
1) Ödüllendirilmeyen sorun türleri nedir?
Jabber, e-posta ve FTP sunucuları gibi Yandex’in ağ altyapısında ve Yandex’le etkileşim içinde bulunan dış site ve servislerde bulunan güvenlik açıkları için ödül verilmez.
Zayıf giriş şifreleri gibi kullanıcı kimlik doğrulama verileri, DoS ve DDoS saldırılarına yol açabilecek her türlü güvenlik açıkları ve kimlik avı (phishing) gibi sosyal mühendislik teknikleriyle ilgili ihbarlar ödüllendirilmemekle birlikte, bu tür bildiriler için kullanıcılarımıza Yandex olarak minnettar olacağımızı bildiririz.
2) Bulunan güvenlik açıkları hakkında Yandex nasıl bilgilendirilir?
Bulduğunuz güvenlik açığının yapısını ayrıntılı olarak açıklayan mesajı özel ihbar formu üzerinden veya [email protected] adresine e-posta ileterek gönderebilirsiniz. Mesajınızda özellikle:
içinde güvenlik açığını bulduğunuz servisin ismi;
sorunlu komut dosyası veya fonksiyonun, veya iletilen parametrenin ismi;
sözkonusu güvenlik açığının kendini göstermesini sağlamak için gereken adımlar
gibi başlıkların yeterince net bir şekilde aktarılmasına dikkat etmenizi rica ederiz.
Uygun gördüğünüz takdirde mesajınıza ilgili ekran görüntülerini de ekleyebilirsiniz.