–––––––––––––––
Трудно поверить, что несколько лет назад корпорация Microsoft отвергала программы Bug Bounty и категорически отказывалась платить независимым исследователям за найденные уязвимости. Даже когда это стало общепринятой практикой среди почти всех крупных софтверных компаний, Microsoft гнула свою линию.
К чести редмондского гиганта, он признал ошибку. Сначала ввели программу поощрений за найденные уязвимости в операционной системе Windows и браузере Internet Explorer, а сейчас Microsoft расширила эту программу на онлайновые сервисы в рамках инициативы Microsoft Online Services Bug Bounty.
Действие программы началось 23 сентября 2014 года. Минимальная сумма вознаграждения составляет 500 долларов США. Максимальная — не ограничена и зависит от опасности уязвимости, на усмотрение специалистов Microsoft.
Межсайтовый скриптинг (XSS)
Межсайтовая подделка запроса (CSRF)
Неавторизованный доступ или фальсификация данных
Небезопасные прямые ссылки на объекты
Инъекции
Изъяны аутентификации
Исполнение кода на стороне сервера
Эскалация привилегий
Значительные погрешности в настройке сервера
Microsoft оставляет за собой право отвергнуть любую уязвимость, которая не соответствует приведённым критериям.
На вознаграждение могут претендовать уязвимости в следующих доменах: portal.office.com *. outlook.com (Office 365 для бизнеса, не пользовательские сервисы “outlook.com”) outlook.office365.com login.microsoftonline.com *. sharepoint.com *. lync.com *. officeapps.live.com www.yammer.com api.yammer.com adminwebservice.microsoftonline.com provisioningapi.microsoftonline.com graph.windows.net source: http://xakep.ru/ms-bugs-online/
Присоединяйтесь — мы покажем вам много интересного
Присоединяйтесь к ОК, чтобы подписаться на группу и комментировать публикации.
Комментарии 1