Новости MicrosoftПоследние новости

Microsoft корректирует и расширяет модели ценообразования Bug Bounty

Не так давно Microsoft обновила свою программу поощрения за обнаружение ошибок, добавив дополнительные продукты в список тех, кто имеет право на вознаграждение. И теперь компания вернулась к изменению своих условий, чтобы более точно выразить то, что вы можете ожидать от своей программы.

Bug Bounty

Чтобы получить максимальную прибыль на обнаружении ошибок, вам нужно будет столкнуться со следующими сценариями с высоким уровнем воздействия:

  • Удаленное выполнение кода через ненадежный ввод (CWE-94 «Неправильный контроль генерации кода («Внедрение кода»)») (максимальная награда +30%).
  • Удаленное выполнение кода через ненадежный ввод (CWE-502 «Десериализация недоверенных данных») (максимальная награда +30%).
  • Несанкционированная утечка конфиденциальных данных между арендаторами и перекрестной идентификацией1 (CWE-200 «Предоставление конфиденциальной информации неавторизованному субъекту») (максимальная награда +20 %).
  • Несанкционированная утечка конфиденциальных данных с перекрестной идентификацией (CWE-488 «Воздействие элемента данных на неправильный сеанс») (максимальная награда +20%).
  • Уязвимости «Запутанный заместитель», которые можно использовать в практической атаке, которая получает доступ к ресурсам в обход аутентификации (CWE-918 «Подделка запроса на стороне сервера (SSRF)») (максимальная награда +15%).

Вы можете увидеть полный обзор изменений вознаграждения за ошибки на странице Microsoft, где есть подробный анализ текущих продуктов и услуг, за которые Редмонд готов раздать деньги. Обратите внимание, что многие ошибки, если они считаются только «умеренными» или «низкими» угрозами, принесут вам колоссальную сумму нулевой валюты, поэтому убедитесь, что ошибки, о которых вы сообщаете, достаточно большие и сочные, чтобы получить надлежащее вознаграждение от Microsoft. И забудьте о преступниках, зарабатывающих миллионы на преднамеренных попытках насолить компании.

Статьи по Теме

Добавить комментарий

Ваш адрес email не будет опубликован.

Кнопка «Наверх»