Microsoft bo zdaj izplačal do 30,000 $ lovcem na glave za hrošče za omejen čas

Domov » Microsoft

Ikona časa branja 2 min. prebrati

Ikona koledarja Objavljeno dne

by Surur Davids 

Objavljeno dne

Dajte v skupno rabo ta članek

Bralci pomagajo pri podpori MSpoweruser. Če kupujete prek naših povezav, lahko prejmemo provizijo. Ikona opisa orodja

Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več

V zadnjih nekaj tednih je Google dvakrat spravil Microsoft v zadrego z objavo informacij o varnostnih ranljivostih v sistemu Windows 10, preden jih je bil Microsoft pripravljen popraviti.

Microsoft se je zdaj odzval tako, da je podvojil svojo nagrado za hrošče za omejeno obdobje, kar pomeni, da lahko varnostni raziskovalci zaslužijo do 30,000 $, če odkrijejo resno napako v nekaterih Microsoftovih storitvah od 1. marca do 31. maja 2017.

Če bi hrošče odkrili raziskovalci, ki jih plača Microsoft, bi Microsoftu omogočilo več nadzora nad postopkom razkritja in jim omogočilo, da sami določijo prednostne popravke, namesto da bi bili vsiljeni po 3-mesečnem urniku, ki ga večina neodvisnih raziskovalcev uporablja pred javnim razkritjem.

Microsoft ponuja nagrade za storitve na naslednjih domenah:

  • portal.office.com
  • outlook.office365.com
  • outlook.office.com
  • *.outlook.com
  • outlook.com

Skupni seznam vključuje 18 domen in nadaljnjih 37 primernih končnih točk, ki jih pokriva standardna nagrada za hrošče.

Microsoft želi, da raziskovalci poiščejo devet različnih vrst hroščev, vključno z:

  • Skriptiranje na več mestih (XSS)
  • Ponarejanje zahtev na več mestih (CSRF)
  • Nepooblaščeno poseganje v podatke med najemniki ali dostop do njih (za storitve z več najemniki)
  • Nevarne neposredne reference na objekte
  • Ranljivosti vbrizgavanja
  • Ranljivosti pri preverjanju pristnosti
  • Izvajanje kode na strani strežnika
  • Privilegiranje
  • Pomembna varnostna napačna konfiguracija (če je ni povzročil uporabnik)

Čeprav se 30,000 $ morda sliši veliko, so varnostni raziskovalci morda veliko več nagrajeni s prodajo svoje najdbe na Dark Net, poroča Enterprise Times in ugotavlja, da lahko ranljivost Zero Day prinese celo 200,000 $ in da lahko raziskovalci zaslužijo še več, če razvijejo hrošča in ga prodati kot del platforme zlonamerne programske opreme kot storitve. To bi bilo seveda zelo nezakonito.

Raziskovalci, ki niso na temni strani, lahko preberejo več o sistemu nagrad pri Technetu tukaj.

Več o temah: bug bounty, microsoft, varnost, izkoriščanje ničelnega dne

Surur Davids

Surur Davids Shield

Strokovnjak za pametne telefone

Surur Davids je ustanovitelj WMPoweruser, ki je kasneje postal MSPoweruser.com. Je strokovnjak za pametne telefone z več kot desetletnimi izkušnjami.