Microsoft teraz na obmedzený čas vyplatí lovcom odmien až 30,000 XNUMX dolárov

Domov » Microsoft

Ikona času čítania 2 min. čítať

Ikona kalendára Publikované dňa

by Surur Davids 

publikované dňa

Zdieľajte tento článok

Čítačky pomáhajú podporovať MSpoweruser. Ak nakupujete prostredníctvom našich odkazov, môžeme získať províziu. Ikona popisu

Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac

Za posledných pár týždňov Google zahanbil Microsoft dvakrát tým, že zverejnil informácie o bezpečnostných slabinách vo Windowse 10 predtým, než bol Microsoft pripravený ich opraviť.

Spoločnosť Microsoft teraz zareagovala zdvojnásobením svojej odmeny za chyby na obmedzené obdobie, čo znamená, že výskumní pracovníci v oblasti bezpečnosti môžu od 30,000. marca do 1. mája 31 zarobiť až 2017 XNUMX dolárov, ak nájdu vážnu chybu v určitých službách spoločnosti Microsoft.

Ak by našli chyby výskumníci platení spoločnosťou Microsoft, poskytlo by to spoločnosti Microsoft väčšiu kontrolu nad procesom odhaľovania a umožnilo by im, aby si uprednostnili opravy sami, namiesto toho, aby boli nútení 3-mesačným plánom, ktorý väčšina nezávislých výskumníkov používa pred zverejnením.

Spoločnosť Microsoft ponúka odmeny za služby v nasledujúcich doménach:

  • portál.office.com
  • outlook.office365.com
  • outlook.office.com
  • *.outlook.com
  • outlook.com

Celkový zoznam obsahuje 18 domén a ďalších 37 vhodných koncových bodov, na ktoré sa vzťahuje štandardná odmena za chyby.

Microsoft chce, aby výskumníci hľadali deväť rôznych typov chýb vrátane:

  • Cross Site Scripting (XSS)
  • Falšovanie žiadostí medzi stránkami (CSRF)
  • Neoprávnená manipulácia s údajmi alebo prístup medzi nájomníkmi (pre služby viacerých nájomníkov)
  • Nezabezpečené priame referencie na objekt
  • Zraniteľnosť pri vstrekovaní
  • Chyby v autentifikácii
  • Spustenie kódu na strane servera
  • Eskalácia privilégií
  • Významná nesprávna konfigurácia zabezpečenia (ak nie je spôsobená používateľom)

Aj keď 30,000 200,000 dolárov môže znieť ako veľa, bezpečnostní výskumníci môžu byť oveľa viac odmenení predajom svojho nálezu na Dark Net, uvádza Enterprise Times, pričom poznamenáva, že zraniteľnosť Zero Day môže dosiahnuť až XNUMX XNUMX dolárov a že výskumníci môžu zarobiť ešte viac, ak vyvinú chybu a predávať ju ako súčasť platformy Malvér ako služba. To by bolo samozrejme vysoko nezákonné.

Výskumníci, ktorí nie sú na temnej strane, si môžu prečítať viac o systéme odmien na Technete tu.

Viac o témach: bug bountry, microsoft, zabezpečenia, zero day exploit

Surur Davids

Surur Davids Shield

Expert na smartfóny

Surur Davids je zakladateľom WMPoweruser, ktorý sa neskôr stal MSPoweruser.com. Je to odborník na smartfóny s viac ako desaťročnými skúsenosťami.