Microsoft wypłaci teraz do 30,000 XNUMX USD łowcom nagród przez ograniczony czas
2 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
W ciągu ostatnich kilku tygodni Google dwukrotnie wprawił Microsoft w zakłopotanie, publikując informacje o lukach w zabezpieczeniach systemu Windows 10, zanim Microsoft był gotowy do ich załatania.
Microsoft zareagował teraz, podwajając swoją nagrodę za błędy na ograniczony czas, co oznacza, że analitycy bezpieczeństwa mogą zarobić do 30,000 1 USD, jeśli znajdą poważny błąd w niektórych usługach Microsoft od 31 marca do 2017 maja XNUMX roku.
Posiadanie błędów znalezionych przez badaczy opłacanych przez Microsoft dałoby Microsoft większą kontrolę nad procesem ujawniania i pozwoliłoby im na ustalanie priorytetów dla samych poprawek, zamiast wymuszonego 3-miesięcznym harmonogramem, z którego większość niezależnych badaczy korzysta przed publicznym ujawnieniem.
Firma Microsoft oferuje nagrody za usługi w następujących domenach:
- portal.office.com
- outlook.office365.com
- Outlook.office.com
- * .outlook.com
- outlook.com
Całkowita lista obejmuje 18 domen i kolejne 37 kwalifikujących się punktów końcowych objętych standardowym bug bounty.
Microsoft chce, aby badacze szukali dziewięciu różnych typów błędów, w tym:
- Cross Site Scripting (XSS)
- Fałszowanie żądań między witrynami (CSRF)
- Nieautoryzowane naruszenie lub dostęp do danych między dzierżawcami (w przypadku usług z wieloma dzierżawcami)
- Niezabezpieczone bezpośrednie odniesienia do obiektów
- Podatności związane z iniekcją
- Luki w uwierzytelnianiu
- Wykonanie kodu po stronie serwera
- Eskalacja uprawnień
- Znacząca błędna konfiguracja zabezpieczeń (jeśli nie jest spowodowana przez użytkownika)
Chociaż 30,000 200,000 USD może wydawać się dużo, badacze bezpieczeństwa mogą zostać wynagrodzeni znacznie więcej, sprzedając swoje znalezisko w Dark Net, donosi Enterprise Times, zauważając, że luka Zero Day może przynieść nawet XNUMX XNUMX USD, a badacze mogą zarobić jeszcze więcej, jeśli opracują błąd i sprzedawać go jako część platformy Malware as a Service. Byłoby to oczywiście wysoce nielegalne.
Naukowcy, którzy nie są po ciemnej stronie, mogą przeczytać więcej o systemie nagród w Technet tutaj.