A Microsoft mostantól legfeljebb 30,000 XNUMX dollárt fizet a hibavadászoknak korlátozott ideig

Kezdőlap » microsoft

Olvasási idő ikonra 2 perc olvas

Naptár ikonra Publikálva

by Surur Davids 

közzétették

Ossza meg ezt a cikket

Az olvasók segítenek az MSpoweruser támogatásában. Kaphatunk jutalékot, ha a linkjeinken keresztül vásárol. Eszköztipp ikon

Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább

Az elmúlt hetekben a Google kétszer is zavarba hozta a Microsoftot azzal, hogy információkat adott ki a Windows 10 biztonsági réseiről, mielőtt a Microsoft készen állt volna a javításra.

A Microsoft most arra válaszolt, hogy megduplázza a hibajavítást korlátozott ideig, ami azt jelenti, hogy a biztonsági kutatók akár 30,000 1 dollárt is kereshetnek, ha komoly hibát találnak bizonyos Microsoft-szolgáltatásokban 31. március 2017. és május XNUMX. között.

Ha a kutatók által talált hibákat a Microsoft fizeti, az nagyobb irányítást biztosítana a Microsoftnak a nyilvánosságra hozatali folyamat felett, és lehetővé tenné számukra, hogy maguk határozzák meg a javításokat, ahelyett, hogy a legtöbb független kutató a nyilvánosságra hozatal előtt rákényszerítené őket a három hónapos ütemtervre.

A Microsoft a következő tartományokon kínál jutalmakat a szolgáltatásokért:

  • portal.office.com
  • outlook.office365.com
  • outlook.office.com
  • *.outlook.com
  • outlook.com

A teljes lista 18 domaint és további 37 jogosult végpontot tartalmaz, amelyekre a szabványos hibajavítás vonatkozik.

A Microsoft azt szeretné, ha a kutatók kilenc különböző típusú hibát keresnének, köztük:

  • Kereszthelyzeti parancsfájlok (XSS)
  • Site-request Forgery (CSRF)
  • Jogosulatlan, bérlőközi adatok manipulálása vagy hozzáférés (több bérlős szolgáltatások esetén)
  • Nem biztonságos közvetlen objektumhivatkozások
  • Injekciós sebezhetőségek
  • Hitelesítési biztonsági rések
  • Szerver oldali kódvégrehajtás
  • Privilege eszkaláció
  • Jelentős biztonsági hibás konfiguráció (ha nem a felhasználó okozza)

Bár a 30,000 200,000 dollár soknak tűnhet, a biztonsági kutatók sokkal nagyobb jutalmat kaphatnak, ha eladják leleteiket a Dark Neten – írja az Enterprise Times, megjegyezve, hogy egy nulladik napi sebezhetőség akár XNUMX XNUMX dollárt is elérhet, és a kutatók még többet kereshetnek, ha kifejlesztik. a hibát, és eladja azt egy Malware as a Service platform részeként. Ez természetesen erősen illegális lenne.

Azok a kutatók, akik nem állnak a sötét oldalon, többet olvashatnak a jutalomrendszerről itt a Techneten.

Bővebben a témákról: bug bountry, microsoft, biztonság, nulladik napi exploit

Surur Davids

Surur Davids Shield

Okostelefon szakértő

Surur Davids a WMPoweruser alapítója, amely később MSPoweruser.com lett. Több mint egy évtizedes tapasztalattal rendelkező okostelefon-szakértő.