Max Home IndustryMicrosoft запустила программу вознаграждения за ошибки, охватывающую свои онлайн-службы, начиная с Office 365. Вознаграждение за квалифицированные заявки начинается с 500 долларов.
У Microsoft уже есть установленная программа Bug Bounty, в том числе программа Mitigation Bypass Bounty, которая платит до 100000 долларов США за новые методы эксплуатации против средств защиты, встроенных в ее новейшие операционные системы, и бонус BlueHat Bonus для защиты, дополнительно к 50 000 долларов США за сопровождающие защитные идеи квалифицированное представление обхода смягчения последствий.
Теперь он распространяет идею оплаты отчетов об уязвимостях на свой онлайн-сервис, заявляя:
Быть впереди всех, выявляя методы эксплойтов в наших широко используемых сервисах, помогает сделать среду наших клиентов более безопасной.
Квалифицированные заявки на получение вознаграждения за обнаружение ошибок в онлайн-сервисах будут иметь право на минимальную выплату в размере 500 долларов США с оговоркой:
Награды будут выплачиваться по усмотрению Microsoft в зависимости от степени воздействия уязвимости.
Допустимые материалы включают уязвимости следующих типов:
Межсайтовый скриптинг (XSS)
Подделка межсайтовых запросов (CSRF)
Несанкционированный доступ к данным или несанкционированный доступ к данным между арендаторами (для мультитенантных сервисов)
Небезопасные прямые ссылки на объекты
Инъекционные уязвимости
Уязвимости аутентификации
Выполнение кода на стороне сервера
Повышение привилегий
Существенная неверная конфигурация системы безопасности
Программа ограничена следующими доменами:
portal.office.com
* .outlook.com (приложения служб электронной почты Office 365 для бизнеса, за исключением любых потребительских служб «outlook.com»)
outlook.office365.com
login.microsoftonline.com
* .sharepoint.com — исключая пользовательский контент
* .lync.com
* .officeapps.live.com
www.yammer.com
api.yammer.com
adminwebservice.microsoftonline.com
Provisioningapi.microsoftonline.com
graph.windows.net
Вам также необходимо знать правила, регулирующие тестирование вышеупомянутых онлайн-сервисов, отвечающих критериям вознаграждения. Условия использования гласят:
Вы должны создать тестовые учетные записи и тестовых клиентов для тестирования и проверки безопасности. Для служб Office 365 вы можете настроить тестовую учетную запись здесь. Во всех случаях, где это возможно, включайте строку «MSOBB» в имя вашей учетной записи и / или имя клиента, чтобы идентифицировать клиента как использующего программу вознаграждения за ошибки.
Дополнительно запрещено все следующее:
Любой вид тестирования отказа в обслуживании.
Выполнение автоматизированного тестирования сервисов, генерирующих значительный объем трафика.
Получение доступа к любым данным, которые не являются полностью вашими. Например, вам разрешено и поощряется создание небольшого количества тестовых учетных записей и / или пробных клиентов с целью демонстрации и подтверждения доступа к данным между учетными записями или между клиентами. Однако запрещено использовать одну из этих пробных учетных записей для доступа к данным законного клиента или учетной записи.
Выход за рамки «доказательства концепции» шагов воспроизведения для проблем выполнения на стороне сервера (т. Е. Доказательство того, что у вас есть доступ системного администратора с помощью sqli, приемлемо, запуск xp_cmdshell — нет).
Попытки фишинга или других атак социальной инженерии против наших сотрудников.
Так что 500 долларов хватит на столько хлопот. Что ж, это минимум, и у Microsoft есть опыт выплаты значительных сумм за критические ошибки.