Microsoft теперь выплатит до 30,000 XNUMX долларов охотникам за ошибками в течение ограниченного времени.

Главная » Microsoft

Значок времени чтения 2 минута. читать

Значок календаря Опубликовано

by Сурур Давидс 

Опубликован в

Поделиться этой статьей

Читатели помогают поддержать MSpoweruser. Мы можем получить комиссию, если вы совершите покупку по нашим ссылкам. Значок подсказки

Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее

За последние несколько недель Google дважды поставил Microsoft в неловкое положение, опубликовав информацию об уязвимостях безопасности в Windows 10 до того, как Microsoft была готова их исправить.

В ответ Microsoft удвоила вознаграждение за обнаружение ошибок на ограниченный период, а это означает, что исследователи безопасности могут заработать до 30,000 1 долларов, если они обнаружат серьезную ошибку в определенных службах Microsoft с 31 марта по 2017 мая XNUMX года.

Наличие ошибок, обнаруженных исследователями, оплачиваемыми Microsoft, дало бы Microsoft больший контроль над процессом раскрытия информации и позволило бы им самим определять приоритетность исправлений, вместо того, чтобы быть вынужденным трехмесячным графиком, который используется большинством независимых исследователей перед публичным раскрытием информации.

Microsoft предлагает вознаграждение за услуги в следующих доменах:

  • portal.office.com
  • outlook.office365.com
  • Outlook.office.com
  • * .outlook.com
  • outlook.com

Общий список включает 18 доменов и еще 37 подходящих конечных точек, на которые распространяется стандартная награда за обнаружение ошибок.

Microsoft хочет, чтобы исследователи искали девять различных типов ошибок, в том числе:

  • Межсайтовый скриптинг (XSS)
  • Подделка межсайтовых запросов (CSRF)
  • Несанкционированное изменение данных между арендаторами или доступ к ним (для мультитенантных служб)
  • Небезопасные прямые ссылки на объекты
  • Уязвимости инъекций
  • Уязвимости аутентификации
  • Выполнение кода на стороне сервера
  • Повышение привилегий
  • Значительная неправильная конфигурация безопасности (если она не вызвана пользователем)

Хотя 30,000 200,000 долларов могут показаться большой суммой, исследователи безопасности могут получить гораздо больше, продав свою находку в Даркнете, сообщает Enterprise Times, отмечая, что уязвимость нулевого дня может стоить до XNUMX XNUMX долларов, и что исследователи могут заработать еще больше, если разработают ее. ошибку и продавать ее как часть платформы «Вредоносное ПО как услуга». Это, конечно, было бы крайне незаконно.

Исследователи, которые не находятся на темной стороне, могут узнать больше о системе вознаграждений. в Технете здесь.

Подробнее о темах: Баг Баунтри, Microsoft, безопасность, эксплойт нулевого дня

Сурур Давидс

Сурур Давидс Щит

Эксперт по смартфонам

Сурур Давидс — основатель WMPoweruser, который позже стал MSPoweruser.com. Он эксперт по смартфонам с более чем десятилетним опытом.