Microsoft sekarang akan membayar hingga $30,000 untuk pemburu hadiah bug untuk waktu yang terbatas

Beranda » Microsoft

Ikon waktu membaca 2 menit Baca

Ikon kalender Ditampilkan di

by Surur Davids 

Diterbitkan di

Bagikan artikel ini

Pembaca membantu dukungan MSpoweruser. Kami mungkin mendapat komisi jika Anda membeli melalui tautan kami. Ikon Keterangan Alat

Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut

Selama beberapa minggu terakhir Google telah mempermalukan Microsoft dua kali dengan merilis informasi tentang kerentanan keamanan di Windows 10 sebelum Microsoft siap untuk menambalnya.

Microsoft kini telah merespons dengan menggandakan hadiah bug mereka untuk jangka waktu terbatas, yang berarti peneliti keamanan dapat memperoleh hingga $30,000 jika mereka menemukan bug serius di layanan Microsoft tertentu dari 1 Maret hingga 31 Mei 2017.

Memiliki bug yang ditemukan oleh peneliti yang dibayar oleh Microsoft akan memberi Microsoft kontrol lebih besar atas proses pengungkapan dan membiarkan mereka memprioritaskan perbaikan sendiri, daripada dipaksa oleh jadwal 3 bulan yang digunakan sebagian besar peneliti independen sebelum pengungkapan publik.

Microsoft menawarkan hadiah untuk layanan di domain berikut:

  • portal.office.com
  • pandangan.office365.com
  • pandangan.office.com
  • *.outlook.com
  • outlook.com

Daftar total mencakup 18 domain dan 37 titik akhir yang memenuhi syarat yang dicakup oleh karunia bug standar.

Microsoft ingin para peneliti mencari sembilan jenis bug yang berbeda, termasuk:

  • Skrip Lintas Situs (XSS)
  • Pemalsuan Permintaan Lintas Situs (CSRF)
  • Gangguan atau akses data lintas-penyewa yang tidak sah (untuk layanan multi-penyewa)
  • Referensi objek langsung yang tidak aman
  • Kerentanan Injeksi
  • Kerentanan Otentikasi
  • Eksekusi Kode sisi server
  • Eskalasi Privilege
  • Kesalahan Konfigurasi Keamanan yang Signifikan (bila tidak disebabkan oleh pengguna)

Sementara $30,000 mungkin terdengar sangat banyak, peneliti keamanan mungkin dihargai lebih banyak dengan menjual temuan mereka di Dark Net, lapor Enterprise Times, mencatat bahwa kerentanan Zero Day dapat mencapai $200,000 dan peneliti dapat menghasilkan lebih banyak lagi jika mereka mengembangkan bug dan menjualnya sebagai bagian dari Malware sebagai platform Layanan. Ini tentu saja akan sangat ilegal.

Para peneliti yang tidak berada di sisi gelap dapat membaca lebih lanjut tentang sistem bounty di Technet di sini.

Lebih lanjut tentang topik: hadiah bug, microsoft, keamanan, eksploitasi nol hari

Surur Davids

Surur Davids Melindungi

Pakar Ponsel Cerdas

Surur Davids adalah pendiri WMPoweruser yang kemudian menjadi MSPoweruser.com. Dia adalah pakar ponsel pintar dengan pengalaman lebih dari satu dekade.