Microsoft hiện sẽ trả tới 30,000 đô la cho những kẻ săn tiền thưởng lỗi trong một thời gian giới hạn

Trang Chủ » microsoft

Biểu tượng thời gian đọc 2 phút đọc

Biểu tượng lịch Được đăng trên

by Surur Davids 

Được xuất bản trên

Chia sẻ bài báo này

Bạn đọc giúp đỡ ủng hộ MSpoweruser. Chúng tôi có thể nhận được hoa hồng nếu bạn mua thông qua các liên kết của chúng tôi. Biểu tượng chú giải công cụ

Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm

Trong vài tuần qua, Google đã hai lần khiến Microsoft xấu hổ khi tiết lộ thông tin về các lỗ hổng bảo mật trong Windows 10 trước khi Microsoft sẵn sàng vá chúng.

Microsoft hiện đã phản ứng bằng cách tăng gấp đôi số tiền thưởng lỗi của họ trong một thời gian giới hạn, có nghĩa là các nhà nghiên cứu bảo mật có thể kiếm được tới 30,000 USD nếu họ tìm thấy một lỗi nghiêm trọng trong một số dịch vụ của Microsoft từ ngày 1 tháng 31 đến ngày 2017 tháng XNUMX năm XNUMX.

Việc các nhà nghiên cứu được Microsoft trả tiền tìm thấy các lỗi sẽ giúp Microsoft có nhiều quyền kiểm soát hơn đối với quá trình tiết lộ và cho phép họ tự ưu tiên sửa lỗi, thay vì bị ép buộc bởi lịch trình 3 tháng mà hầu hết các nhà nghiên cứu độc lập sử dụng trước khi tiết lộ công khai.

Microsoft đang cung cấp phần thưởng cho các dịch vụ trên các miền sau:

  • Portal.office.com
  • outlook.office365.com
  • triển vọng.office.com
  • * .outlook.com
  • outlook.com

Tổng danh sách bao gồm 18 tên miền và thêm 37 điểm cuối đủ điều kiện được hưởng tiền thưởng lỗi tiêu chuẩn.

Microsoft muốn các nhà nghiên cứu tìm kiếm 9 loại lỗi khác nhau, bao gồm:

  • Tập lệnh chéo trang web (XSS)
  • Yêu cầu trên nhiều trang web giả mạo (CSRF)
  • Giả mạo hoặc truy cập dữ liệu nhiều người thuê trái phép (đối với các dịch vụ nhiều người thuê)
  • Tham chiếu đối tượng trực tiếp không an toàn
  • Các lỗ hổng tiêm
  • Các lỗ hổng xác thực
  • Thực thi mã phía máy chủ
  • Nâng cao đặc quyền
  • Cấu hình sai bảo mật nghiêm trọng (khi không phải do người dùng gây ra)

Mặc dù 30,000 đô la nghe có vẻ nhiều, nhưng các nhà nghiên cứu bảo mật có thể được thưởng nhiều hơn bằng cách bán phát hiện của họ trên Dark Net, báo cáo của Enterprise Times, lưu ý rằng lỗ hổng Zero Day có thể kiếm được tới 200,000 đô la và các nhà nghiên cứu có thể kiếm được nhiều hơn nữa nếu họ phát triển lỗi và bán nó như một phần của Phần mềm độc hại dưới dạng nền tảng Dịch vụ. Điều này tất nhiên sẽ rất bất hợp pháp.

Các nhà nghiên cứu không thuộc phe tối có thể đọc thêm về hệ thống tiền thưởng tại Technet tại đây.

Thông tin thêm về các chủ đề: tiền thưởng lỗi, microsoft, an ninh, khai thác không ngày

Surur Davids

Surur Davids Lá chắn

Chuyên gia điện thoại thông minh

Surur Davids là người sáng lập WMPoweruser mà sau này trở thành MSPoweruser.com. Anh ấy là một chuyên gia về điện thoại thông minh với hơn một thập kỷ kinh nghiệm.