微软现在将在有限的时间内为漏洞赏金猎人支付高达 30,000 美元
2分钟读
发表于
读者帮助支持 MSpoweruser。如果您通过我们的链接购买,我们可能会获得佣金。
阅读我们的披露页面,了解如何帮助 MSPoweruser 维持编辑团队 查看更多
在过去的几周里,谷歌在微软准备修补它们之前发布了有关 Windows 10 安全漏洞的信息,两次让微软感到尴尬。
微软现在的回应是在有限的时间内将他们的漏洞赏金增加一倍,这意味着如果安全研究人员在 30,000 年 1 月 31 日至 2017 月 XNUMX 日期间发现某些微软服务中的严重漏洞,他们可以获得高达 XNUMX 美元的收入。
由微软付费的研究人员发现的错误将使微软能够更好地控制披露过程,并让他们自己优先修复,而不是被大多数独立研究人员在公开披露之前使用的 3 个月时间表所强制。
Microsoft 为以下领域的服务提供奖励:
- portal.office.com
- outlook.office365.com
- outlook.office.com 网站
- * .outlook.com
- outlook.com
总列表包括 18 个域和标准错误赏金涵盖的另外 37 个合格端点。
微软希望研究人员寻找九种不同类型的错误,包括:
- 跨站点脚本(XSS)
- 跨站请求伪造 (CSRF)
- 未经授权的跨租户数据篡改或访问(针对多租户服务)
- 不安全的直接对象引用
- 注入漏洞
- 身份验证漏洞
- 服务器端代码执行
- 特权升级
- 严重的安全配置错误(不是由用户引起的)
据 Enterprise Times 报道,虽然 30,000 美元可能听起来很多,但安全研究人员可能会通过在暗网上出售他们的发现获得更多回报,并指出零日漏洞可以卖到高达 200,000 美元,如果他们开发,研究人员可以赚更多该错误并将其作为恶意软件即服务平台的一部分出售。 这当然是高度非法的。
不处于黑暗面的研究人员可以阅读更多关于赏金系统的信息 在 Technet 这里.