close-btn

Microsoft заплатит $20 000: за что

Корпорация Microsoft объявила, что будет выплачивать до $20 000 за уязвимости, о которых будет сообщено в рамках новой программы вознаграждения за исправление ошибок в продуктах Defender

Фото: pngwing.com

Фото: pngwing.com

Новая программа Microsoft Defender Bounty Program стартует с Defender for Endpoint API, но технологический гигант заявляет, что со временем к ней будут добавлены и другие продукты под брендом Defender.

«Программа Microsoft Defender Bounty Program приглашает исследователей со всего мира выявлять уязвимости в продуктах и сервисах Defender и делиться ими с нашей командой», — говорится в сообщении компании.

Исследователи-участники могут получить от $500 до $20 000 за обнаруженные недостатки, в зависимости от влияния и качества отчета.

Самые высокие вознаграждения, по словам Microsoft, могут быть присуждены за ошибки удаленного выполнения кода (RCE) критической важности. Компания готова выплатить до $8 000 за критическое нарушение привилегий и разглашение информации, а также может предложить до $3 000 за уязвимости, связанные с подделкой и фальсификацией.

Чтобы получить вознаграждение за обнаружение уязвимостей, исследователи должны сообщить об уязвимостях, которые относятся к сфере действия программы, о которых ранее не сообщалось, и которые могут быть воспроизведены в последней, полностью исправленной версии продукта.

К уязвимостям в программе относятся межсайтовой скриптинг (XSS), подделка межсайтовых запросов (CSRF), подделка запросов на стороне сервера (SSRF), межпользовательский доступ к данным, опасные прямые ссылки на объекты, выполнение кода на стороне сервера, а также проблемы с неправильной конфигурацией безопасности.

Отчеты, охватывающие компоненты с известными уязвимостями, должны также включать код эксплойтов для подтверждения концепции (PoC), отмечает технологический гигант.

Читайте также:

Отчеты должны быть четкими и лаконичными, а также содержать информацию, необходимую для воспроизведения проблемы.

Все отчеты, по словам Microsoft, должны быть поданы через портал для исследователей MSRC Researcher Portal, в них должно быть указано, к какому сценарию с высокой степенью воздействия они подпадают, а также описан вектор атаки для бага.

«Сфера действия программы Defender Bounty ограничивается техническими уязвимостями в продуктах и службах, связанных с Defender. Если вы обнаружили данные клиентов во время проведения своих исследований или не уверены, безопасно ли продолжать, пожалуйста, остановитесь и свяжитесь с нами», — отмечает технологический гигант.

Вас также может заинтересовать:

Windows 11 теперь позволяет извлекать текст из скринов и размывать фотофон

Windows 12 потребует подписку, а в 11 версии нашли скрытую игру

Microsoft заплатит $15 тыс. тому, кто найдет баги Bing AI

Источник: Securityweek

google news
credit link image
×
Подписывайтесь на нас в Telegram и Viber!