Positive Technologies помогает Яндексу
13.03.2013
Эксперты Positive Technologies обнаружили в сервисах Яндекса ряд серьезных уязвимостей, позволяющих получить доступ к отдельным частям внутренней сети компании.
Эксперты Positive Technologies обнаружили в сервисах Яндекса ряд серьезных уязвимостей, позволяющих получить доступ к отдельным частям внутренней сети компании. Поиск недостатков безопасности проходил в конце 2012 года в рамках второго этапа программы Yandex Bug Bounty, которую на постоянной основе проводит российская поисковая система.
Объектами для поиска уязвимостей стали большинство ресурсов Яндекса, а также мобильные приложения: Яндекс.Карты, Яндекс.Навигатор, Яндекс.Музыка, Яндекс.Почта и Яндекс.Маркет.
Как выяснили специалисты группы анализа защищенности веб-приложений Positive Technologies, проблемы с безопасностью есть на Яндекс.Паспорте, Яндекс.Почте, Яндекс.Картах, серверах wiki.yandex.ru, school.yandex.ru и других ресурсах интернет-портала. Было обнаружено несколько десятков уязвимостей различного уровня опасности, включая Memory Disclosure, XSS, Open Redirect, Response Splitting и CSRF.
Самой серьезной, по словам специалистов Positive Technologies, стала ошибка безопасности на сервисе Яндекс.Вебмастер, который оказался уязвимым для внедрения внешних сущностей XML (XML External Entity) через XSD-схемы. Эксплуатация данной уязвимости могла открыть доступ к соседним хостам во внутренней сети Яндекса и представлять потенциальную опасность для пользовательских данных.
Недостатки защищенности в популярных сервисах были оперативно устранены.
Смотреть все статьи по теме "Информационная безопасность"
Читайте также
Еще совсем недавно от западных облачных сервисов зависело 30% крупных российских компаний. Их отключение, порой внезапное, должно было поставить рынок перед сложными вызовами. Но оказалось, что российские облака готовы предложить рынку вполне зрелые решения. Это и многое другое обсудили участники круглого стола IT-World «Импортозамещение в облаках».
Похожие статьи