Max Home IndustryMicrosoft недавно добавила NET Core и ASP.NET Core в свой набор постоянных программ вознаграждений. Он также расширил вознаграждение за удаленное выполнение кода для Microsoft Edge.
Программа .NET Core и ASP.NET Core стартовала 1 сентября 2016 года со следующих ключевых моментов:
Microsoft выплатит вознаграждение за критические и важные уязвимости в последней версии RTM или поддерживаемые бета- или RC-версии последних версий Microsoft .NET Core, ASP.NET Core как для Windows, так и для Linux.
Он включает уязвимости в стандартных шаблонах ASP.NET Core, предоставляемых с расширением веб-инструментов ASP.NET для Visual Studio 2015 или более поздней версии и Kestrel, новым веб-сервером Microsoft.
Уязвимость должна быть представлена и воспроизведена в последней версии RTM или в поддерживаемых выпусках Beta или RC выше текущей версии RTM, чтобы претендовать на вознаграждение, и чем выше качество вашего отчета, тем больше будет выплата.
Выплаты за вознаграждение будут варьироваться от 500 до 15 000 долларов США.
Награда за уязвимости RCE (удаленное выполнение кода) в Microsoft Edge в сборках Windows Insider Preview была введена 4 августа 2016 г. и действует до 15 мая 2017 г. Первоначально она предлагала следующие награды:
Уязвимости в разделах Chakra с открытым исходным кодом также включены в программу.
В конце сентября его расширили, и команда MSRC объяснила:
Поскольку безопасность — это постоянные усилия, а не пункт назначения, мы уделяем приоритетное внимание получению различных типов уязвимостей в разные моменты времени. В настоящее время мы фокусируемся на уязвимостях, которые приводят к нарушению стандартов W3C, которые ставят под угрозу конфиденциальность и целостность важных пользовательских данных и RCE.
В результате доступны вознаграждения за сообщение об уязвимостях обхода политики одинакового происхождения (SoP), например UXSS, и подделках реферера с доказательством концепции, то есть за файлы и шаги, необходимые для надежного воспроизведения уязвимости. Вознаграждение в размере до 6000 долларов будет выплачено в случае высококачественного отчета или до 1500 долларов в случае некачественного отчета.
Самый высокий уровень вознаграждения Microsoft — это программа Mitigation Bypass Bounty и Bounty for Defense, инициированная в 2013 году. Отправка нового метода обхода защиты от новейшей платформы Windows может принести до 100 000 долларов США, а также предлагается еще 100 000 долларов США за средство защиты, чтобы заблокировать его. Самая высокая выплата на сегодняшний день составила 125 000 долларов в 2015 году. На данный момент в 2016 году было произведено 7 выплат в диапазоне от 5 000 до 100 000 долларов на общую сумму 245 000 долларов.
Баунти в размере от 500 до 15 000 долларов также регулярно выплачиваются в рамках программы Microsoft Online Services Bug Bounty. За первые два квартала 2016 года таких наград было 30, но, хотя их имена указаны в списке почетных наград охотников за головами, присужденные суммы не указаны.
Следите за обновлениями программ Microsoft Bug Bounty в блоге Microsoft Security Response Center.