Microsoft wypłaci teraz do 30,000 XNUMX USD łowcom nagród przez ograniczony czas

Strona główna » Microsoft

Ikona czasu czytania 2 minuta. czytać

Ikona kalendarza Opublikowany

by Surura Davidsa 

opublikowane w dniu

Udostępnij ten artykuł

Czytelnicy pomagają wspierać MSpoweruser. Możemy otrzymać prowizję, jeśli dokonasz zakupu za pośrednictwem naszych linków. Ikona podpowiedzi

Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej

W ciągu ostatnich kilku tygodni Google dwukrotnie wprawił Microsoft w zakłopotanie, publikując informacje o lukach w zabezpieczeniach systemu Windows 10, zanim Microsoft był gotowy do ich załatania.

Microsoft zareagował teraz, podwajając swoją nagrodę za błędy na ograniczony czas, co oznacza, że ​​analitycy bezpieczeństwa mogą zarobić do 30,000 1 USD, jeśli znajdą poważny błąd w niektórych usługach Microsoft od 31 marca do 2017 maja XNUMX roku.

Posiadanie błędów znalezionych przez badaczy opłacanych przez Microsoft dałoby Microsoft większą kontrolę nad procesem ujawniania i pozwoliłoby im na ustalanie priorytetów dla samych poprawek, zamiast wymuszonego 3-miesięcznym harmonogramem, z którego większość niezależnych badaczy korzysta przed publicznym ujawnieniem.

Firma Microsoft oferuje nagrody za usługi w następujących domenach:

  • portal.office.com
  • outlook.office365.com
  • Outlook.office.com
  • * .outlook.com
  • outlook.com

Całkowita lista obejmuje 18 domen i kolejne 37 kwalifikujących się punktów końcowych objętych standardowym bug bounty.

Microsoft chce, aby badacze szukali dziewięciu różnych typów błędów, w tym:

  • Cross Site Scripting (XSS)
  • Fałszowanie żądań między witrynami (CSRF)
  • Nieautoryzowane naruszenie lub dostęp do danych między dzierżawcami (w przypadku usług z wieloma dzierżawcami)
  • Niezabezpieczone bezpośrednie odniesienia do obiektów
  • Podatności związane z iniekcją
  • Luki w uwierzytelnianiu
  • Wykonanie kodu po stronie serwera
  • Eskalacja uprawnień
  • Znacząca błędna konfiguracja zabezpieczeń (jeśli nie jest spowodowana przez użytkownika)

Chociaż 30,000 200,000 USD może wydawać się dużo, badacze bezpieczeństwa mogą zostać wynagrodzeni znacznie więcej, sprzedając swoje znalezisko w Dark Net, donosi Enterprise Times, zauważając, że luka Zero Day może przynieść nawet XNUMX XNUMX USD, a badacze mogą zarobić jeszcze więcej, jeśli opracują błąd i sprzedawać go jako część platformy Malware as a Service. Byłoby to oczywiście wysoce nielegalne.

Naukowcy, którzy nie są po ciemnej stronie, mogą przeczytać więcej o systemie nagród w Technet tutaj.

Więcej na tematy: łapanie błędów, Microsoft, bezpieczeństwo, wykorzystaj zero dni

Surura Davidsa

Surura Davidsa Tarcza

Ekspert od smartfonów

Surur Davids jest założycielem WMPoweruser, który później stał się MSPoweruser.com. Jest ekspertem w dziedzinie smartfonów z ponad dziesięcioletnim doświadczeniem.