Курсы валют
на 09.12.2017
Курс доллара США
Курс евро
Биржевой курс доллара США
Биржевой курс евро

Все валюты

Сегодня понедельник, 11.12.2017, ньюсмейкеров: 37938, сайтов: 360, публикаций: 2213486
Новости. Опубликовано 01.10.2013 16:04 МСК.  Просмотров всего: 646; сегодня: 2.

Yahoo оценило безопасность всех своих пользователей в 12 долларов и 50 центов

Yahoo оценило безопасность всех своих пользователей в 12 долларов и 50 центов

Вознаграждение можно получить только в качестве сувенирной продукции с логотипом компании.

На сегодняшний день все больше компаний вводят программы вознаграждения для экспертов по безопасности. Нередко механизм работы подобных программ вызывает споры и даже судебные иски – в качестве примера можно привести недавний инцидент с Facebook, когда хакер так и не смог получить вознаграждение от социальной сети.

Специалисты High-Tech Bridge решили провести серию экспериментов с компанией Yahoo, которая, по ее словам, следует лучшим политикам ИБ и поощряет разработчиков в том, чтобы они искали бреши в ее продуктах. Yahoo является менее популярной, чем Facebook и Google, при этом она также обрабатывает информацию миллионов пользователей, поэтому исследователи решили установить, как легко можно обнаружить уязвимость в продуктах подобной компании, а также, как быстро наступит реакция разработчиков.

На обнаружение первой XSS-уязвимости исследователям потребовалось всего 45 минут и браузер Firefox. Это была классическая отраженная уязвимость межсайтового скриптинга на странице marketingsolutions.yahoo.com. Эксперты сообщили Yahoo об обнаруженной бреши, на что пришел скорый ответ: «К сожалению, данная заявка не квалифицируется на вознаграждение, так как она уже была подана другим человеком. Пожалуйста, продолжайте присылать данные обо всех уязвимостях, которые вы обнаружите в дальнейшем». При этом никаких доказательств того, что уязвимость была ранее обнаружена кем то другим, предоставлено не было.

На этом исследователи не остановились, и продолжили свои поиски. В течение нескольких дней Yahoo Security Team получила данные о еще 3 XSS-уязвимостях, которые находятся на страницах ecom.yahoo.com и adserver.yahoo.com domains. Для эксплуатации уязвимости требовалось всего лишь отправить авторизованному пользователю ящика @yahoo.com специально сформированную ссылку.

На этот раз ответа Yahoo пришлось ждать 48 часов, причем администрация сердечно отблагодарила исследователей и предложила им вознаграждение в $12,5 за каждую уязвимость. Вознаграждение можно забрать только в качестве кода для скидки на Yahoo Company Store в котором продаются футболки, кружки, ручки и другие сувениры с символикой Yahoo.

На момент публикации новости все 4 XSS-уязвимости на сайте Yahoo были исправлены.


Ньюсмейкер: High-Tech Bridge — 12 публикаций
Сайт: www.htbridge.com
Тематические сайты: Безопасность
Сайты стран: Швейцария
Сайты регионов мира: Европа Центральная
Печать
Поделиться:
«Телефон доверия» Сибирской оперативной таможни работает круглосуточно ОНФ настаивает на решении проблем сирот, получивших «аварийное жилье» в Новосибирской области Перед новогодним вылетом за рубеж стоит узнать правила перемещения товаров для личного пользования Предварительные результаты Правового диктанта в Ростовской области Рождественский вертеп хотят создать при ростовском храме Петра и Февронии Юристам года-2017 в Ростовской области вручили региональную премию График семинаров 2018 - в Москве, Сочи, Крыму, КавМинВодах, на Алтае и за рубежом. Новогодняя скидка Роттердам на первом месте по рентабельности П.С. Дорохин: «Сложившаяся в РФ налоговая система – издевательство над экономикой» Рекламное агентство в Хабаровске