rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Yahoo оценило безопасность всех своих пользователей в 12 долларов и 50 центов

(Официальное сообщение компании (пресс-релиз))

Данный материал размещен пользователем сайта. Мнение редакции может не совпадать с мнением автора
Вознаграждение можно получить только в качестве сувенирной продукции с логотипом компании.

На сегодняшний день все больше компаний вводят программы вознаграждения для экспертов по безопасности. Нередко механизм работы подобных программ вызывает споры и даже судебные иски – в качестве примера можно привести недавний инцидент с Facebook, когда хакер так и не смог получить вознаграждение от социальной сети.
 
Специалисты High-Tech Bridge решили провести серию экспериментов с компанией Yahoo, которая, по ее словам, следует лучшим политикам ИБ и поощряет разработчиков в том, чтобы они искали бреши в ее продуктах. Yahoo является менее популярной, чем Facebook и Google, при этом она также обрабатывает информацию миллионов пользователей, поэтому исследователи решили установить, как легко можно обнаружить уязвимость в продуктах подобной компании, а также, как быстро наступит реакция разработчиков.
 
На обнаружение первой XSS-уязвимости исследователям потребовалось всего 45 минут и браузер Firefox. Это была классическая отраженная уязвимость межсайтового скриптинга на странице marketingsolutions.yahoo.com. Эксперты сообщили Yahoo об обнаруженной бреши, на что пришел скорый ответ: «К сожалению, данная заявка не квалифицируется на вознаграждение, так как она уже была подана другим человеком. Пожалуйста, продолжайте присылать данные обо всех уязвимостях, которые вы обнаружите в дальнейшем». При этом никаких доказательств того, что уязвимость была ранее обнаружена кем то другим, предоставлено не было.
 
На этом исследователи не остановились, и продолжили свои поиски. В течение нескольких дней Yahoo Security Team получила данные о еще 3 XSS-уязвимостях, которые находятся на страницах ecom.yahoo.com и adserver.yahoo.com domains. Для эксплуатации уязвимости требовалось всего лишь отправить авторизованному пользователю ящика @yahoo.com специально сформированную ссылку.
 
На этот раз ответа Yahoo пришлось ждать 48 часов, причем администрация сердечно отблагодарила исследователей и предложила им вознаграждение в $12,5 за каждую уязвимость. Вознаграждение можно забрать только в качестве кода для скидки на Yahoo Company Store в котором продаются футболки, кружки, ручки и другие сувениры с символикой Yahoo.
 
На момент публикации новости все 4 XSS-уязвимости на сайте Yahoo были исправлены. 

Автор: B2Blogger.com

Рубрики: Web, Безопасность

Ключевые слова: информационная безопасность сетей, информационная безопасность защита, безопасность информационных систем обеспечение безопасности, анализ информационной безопасности, информационная безопасность организации, безопасность, информационная безопасность, сетевая безопасность, системы безопасности, защита персональных данных, персональные данные

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

14.09.2021 Нехватка компонентов не навредила рынку игровых ПК в регионе EMEA

09.09.2021 Пирог электронной коммерции готов к дележу

07.09.2021 Отечественный рынок ИТ-услуг показал 5-процентный рост

03.09.2021 Безопасная разработка: почему с DevSecOps все непросто

02.09.2021 Tele2 улучшает имидж через искусство

18.05.2021 Мировые расходы на безопасность и управление рисками в 2021 году превысят 150 млрд долларов

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга