Microsoft корректирует и расширяет модели ценообразования Bug Bounty
Не так давно Microsoft обновила свою программу поощрения за обнаружение ошибок, добавив дополнительные продукты в список тех, кто имеет право на вознаграждение. И теперь компания вернулась к изменению своих условий, чтобы более точно выразить то, что вы можете ожидать от своей программы.
Чтобы получить максимальную прибыль на обнаружении ошибок, вам нужно будет столкнуться со следующими сценариями с высоким уровнем воздействия:
- Удаленное выполнение кода через ненадежный ввод (CWE-94 «Неправильный контроль генерации кода («Внедрение кода»)») (максимальная награда +30%).
- Удаленное выполнение кода через ненадежный ввод (CWE-502 «Десериализация недоверенных данных») (максимальная награда +30%).
- Несанкционированная утечка конфиденциальных данных между арендаторами и перекрестной идентификацией1 (CWE-200 «Предоставление конфиденциальной информации неавторизованному субъекту») (максимальная награда +20 %).
- Несанкционированная утечка конфиденциальных данных с перекрестной идентификацией (CWE-488 «Воздействие элемента данных на неправильный сеанс») (максимальная награда +20%).
- Уязвимости «Запутанный заместитель», которые можно использовать в практической атаке, которая получает доступ к ресурсам в обход аутентификации (CWE-918 «Подделка запроса на стороне сервера (SSRF)») (максимальная награда +15%).
Вы можете увидеть полный обзор изменений вознаграждения за ошибки на странице Microsoft, где есть подробный анализ текущих продуктов и услуг, за которые Редмонд готов раздать деньги. Обратите внимание, что многие ошибки, если они считаются только «умеренными» или «низкими» угрозами, принесут вам колоссальную сумму нулевой валюты, поэтому убедитесь, что ошибки, о которых вы сообщаете, достаточно большие и сочные, чтобы получить надлежащее вознаграждение от Microsoft. И забудьте о преступниках, зарабатывающих миллионы на преднамеренных попытках насолить компании.