Тепер Microsoft виплачуватиме до 30,000 XNUMX доларів за мисливців за жуками протягом обмеженого часу

Головна » Microsoft

Значок часу читання 2 хв. читати

Піктограма календаря Опубліковано

by Сурур Давідс 

опубліковано на

Поділитися цією статтею

Читачі допомагають підтримувати MSpoweruser. Ми можемо отримати комісію, якщо ви купуєте через наші посилання. Значок підказки

Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі

За останні кілька тижнів Google двічі присоромив Microsoft, опублікувавши інформацію про вразливості системи безпеки в Windows 10 до того, як Microsoft була готова їх виправити.

Корпорація Майкрософт тепер у відповідь подвоїла винагороду за помилки на обмежений період, тобто дослідники безпеки можуть заробити до 30,000 1 доларів США, якщо виявлять серйозну помилку в певних службах Microsoft з 31 березня до 2017 травня XNUMX року.

Виявлення помилок дослідниками, оплаченими Microsoft, дасть Microsoft більше контролю над процесом розкриття інформації та дозволить їм самостійно визначати пріоритети виправлень, замість того, щоб бути змушеними 3-місячним графіком, який використовує більшість незалежних дослідників перед оприлюдненням.

Microsoft пропонує винагороди за послуги в таких доменах:

  • portal.office.com
  • outlook.office365.com
  • outlook.office.com
  • * .outlook.com
  • outlook.com

Загальний список включає 18 доменів і ще 37 придатних кінцевих точок, на які поширюється стандартна винагорода за помилки.

Microsoft хоче, щоб дослідники шукали дев’ять різних типів помилок, зокрема:

  • Міжсайтові скрипти (XSS)
  • Підробка міжсайтового запиту (CSRF)
  • Несанкціоноване підроблення даних між клієнтами або доступ до них (для служб із кількома клієнтами)
  • Незахищені прямі посилання на об’єкт
  • Вразливості ін'єкції
  • Уразливості автентифікації
  • Виконання коду на стороні сервера
  • Ескалація привілеїв
  • Значна неправильна конфігурація безпеки (якщо не викликана користувачем)

Хоча 30,000 200,000 доларів може здатися великою сумою, дослідники безпеки можуть отримати набагато більше винагороди, продавши свою знахідку в Dark Net, повідомляє Enterprise Times, зазначаючи, що вразливість Zero Day може принести до XNUMX XNUMX доларів США і що дослідники можуть заробити навіть більше, якщо розроблять помилку та продавати її як частину платформи «Зловмисне програмне забезпечення як послуга». Звичайно, це було б дуже незаконно.

Дослідники, які не на темній стороні, можуть дізнатися більше про систему винагород в Technet тут.

Детальніше про теми: помилка баунтрі, Microsoft, безпеку, експлойт нульового дня

Сурур Давідс

Сурур Давідс Щит

Експерт зі смартфонів

Сурур Девідс є засновником WMPoweruser, який пізніше став MSPoweruser.com. Він експерт зі смартфонів із понад десятирічним досвідом.