Microsoft теперь выплатит до 30,000 XNUMX долларов охотникам за ошибками в течение ограниченного времени.
2 минута. читать
Опубликовано
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
За последние несколько недель Google дважды поставил Microsoft в неловкое положение, опубликовав информацию об уязвимостях безопасности в Windows 10 до того, как Microsoft была готова их исправить.
В ответ Microsoft удвоила вознаграждение за обнаружение ошибок на ограниченный период, а это означает, что исследователи безопасности могут заработать до 30,000 1 долларов, если они обнаружат серьезную ошибку в определенных службах Microsoft с 31 марта по 2017 мая XNUMX года.
Наличие ошибок, обнаруженных исследователями, оплачиваемыми Microsoft, дало бы Microsoft больший контроль над процессом раскрытия информации и позволило бы им самим определять приоритетность исправлений, вместо того, чтобы быть вынужденным трехмесячным графиком, который используется большинством независимых исследователей перед публичным раскрытием информации.
Microsoft предлагает вознаграждение за услуги в следующих доменах:
- portal.office.com
- outlook.office365.com
- Outlook.office.com
- * .outlook.com
- outlook.com
Общий список включает 18 доменов и еще 37 подходящих конечных точек, на которые распространяется стандартная награда за обнаружение ошибок.
Microsoft хочет, чтобы исследователи искали девять различных типов ошибок, в том числе:
- Межсайтовый скриптинг (XSS)
- Подделка межсайтовых запросов (CSRF)
- Несанкционированное изменение данных между арендаторами или доступ к ним (для мультитенантных служб)
- Небезопасные прямые ссылки на объекты
- Уязвимости инъекций
- Уязвимости аутентификации
- Выполнение кода на стороне сервера
- Повышение привилегий
- Значительная неправильная конфигурация безопасности (если она не вызвана пользователем)
Хотя 30,000 200,000 долларов могут показаться большой суммой, исследователи безопасности могут получить гораздо больше, продав свою находку в Даркнете, сообщает Enterprise Times, отмечая, что уязвимость нулевого дня может стоить до XNUMX XNUMX долларов, и что исследователи могут заработать еще больше, если разработают ее. ошибку и продавать ее как часть платформы «Вредоносное ПО как услуга». Это, конечно, было бы крайне незаконно.
Исследователи, которые не находятся на темной стороне, могут узнать больше о системе вознаграждений. в Технете здесь.