מיקרוסופט תשלם כעת עד $30,000 עבור ציידי ראשים באגים לזמן מוגבל
2 דקות לקרוא
פורסם ב
שתף את המאמר הזה
שפר את המדריך הזה
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד
במהלך השבועות האחרונים גוגל הביכה את מיקרוסופט פעמיים על ידי פרסום מידע על פרצות אבטחה ב-Windows 10 לפני שמיקרוסופט הייתה מוכנה לתקן אותן.
מיקרוסופט הגיבה כעת על ידי הכפלת כמות הבאגים שלהם לתקופה מוגבלת, כלומר חוקרי אבטחה יכולים להרוויח עד $30,000 אם ימצאו באג רציני בשירותים מסוימים של מיקרוסופט מה-1 במרץ עד ה-31 במאי 2017.
גילוי באגים על ידי חוקרים בתשלום על ידי מיקרוסופט יעניק למיקרוסופט שליטה רבה יותר על תהליך החשיפה ותאפשר להם לתעדף תיקונים בעצמם, במקום להיאלץ על ידי לוח הזמנים של 3 חודשים שרוב החוקרים העצמאיים משתמשים בהם לפני החשיפה לציבור.
Microsoft מציעה תגמולים עבור שירותים בתחומים הבאים:
- portal.office.com
- outlook.office365.com
- outlook.office.com
- *.outlook.com
- outlook.com
הרשימה הכוללת כוללת 18 דומיינים ועוד 37 נקודות קצה כשירות המכוסות על ידי פרס הבאג הסטנדרטי.
מיקרוסופט רוצה שהחוקרים יחפשו תשעה סוגים שונים של באגים, כולל:
- Scripting בין אתרים (XSS)
- זיוף בקשות חוצה אתרים (CSRF)
- שיבוש או גישה לא מורשים בנתונים חוצי דיירים (עבור שירותי ריבוי דיירים)
- הפניות ישירות לא מאובטחות לאובייקט
- פגיעויות בהזרקה
- פגיעויות אימות
- ביצוע קוד בצד השרת
- הסלמת פריבילגיות
- תצורת אבטחה שגויה משמעותית (כאשר אינה נגרמת על ידי המשתמש)
בעוד ש-30,000 דולר אולי נשמעים כמו הרבה, חוקרי אבטחה עשויים להיות מתוגמלים הרבה יותר על ידי מכירת הממצאים שלהם ב-Dark Net, מדווח Enterprise Times, ומציין כי פגיעות של Zero Day יכולה להביא עד 200,000 דולר ושחוקרים יכולים להרוויח אפילו יותר אם יפתחו את הבאג ולמכור אותו כחלק מפלטפורמת תוכנה זדונית כשירות. זה כמובן יהיה מאוד לא חוקי.
חוקרים שאינם בצד האפל יכולים לקרוא עוד על שיטת הבאונטי ב-Technet כאן.
