close-btn

Microsoft заплатить $20 000: за що

Корпорація Microsoft оголосила, що виплачуватиме до $20 000 за вразливості, про які буде повідомлено в рамках нової програми винагороди за виправлення помилок у продуктах Defender

Фото: pngwing.com

Фото: pngwing.com

Нова програма Microsoft Defender Bounty Program стартує з Defender for Endpoint API, але технологічний гігант заявляє, що з часом до неї будуть додані й інші продукти під брендом Defender.

“Програма Microsoft Defender Bounty Program запрошує дослідників з усього світу виявляти вразливості в продуктах і сервісах Defender і ділитися ними з нашою командою”, – йдеться в повідомленні компанії.

Дослідники-учасники можуть отримати від $500 до $20 000 за виявлені недоліки, залежно від впливу та якості звіту.

Найвищі винагороди, за словами Microsoft, можуть бути присуджені за помилки віддаленого виконання коду (RCE) критичної важливості. Компанія готова виплатити до $8 000 за критичне порушення привілеїв та розголошення інформації, а також може запропонувати до $3 000 за вразливості, пов’язані з підробкою та фальсифікацією.

Щоб отримати винагороду за виявлення вразливостей, дослідники повинні повідомити про вразливості, які належать до сфери дії програми, про які раніше не повідомлялося, і які можуть бути відтворені в останній, повністю виправленій версії продукту.

Читайте також: Microsoft розробила самовчителя для ШІ: як він працює

До уразливостей в програмі належать міжсайтовий скриптинг (XSS), підробка міжсайтових запитів (CSRF), підробка запитів на стороні сервера (SSRF), міжкористувацький доступ до даних, небезпечні прямі посилання на об’єкти, виконання коду на стороні сервера, а також проблеми з неправильною конфігурацією безпеки.

Звіти, що охоплюють компоненти з відомими вразливостями, повинні також включати код експлойтів для підтвердження концепції (PoC), зазначає технологічний гігант.

Читайте також: Розкрито нову техніку криптомайнінгу: її неможливо виявити в Microsoft Azure Automation

Звіти повинні бути чіткими і лаконічними, а також містити інформацію, необхідну для відтворення проблеми.

Усі звіти, за словами Microsoft, мають бути подані через портал для дослідників MSRC Researcher Portal, в них має бути вказано, до якого сценарію з високим ступенем впливу вони підпадають, а також описано вектор атаки для багу.

“Сфера дії програми Defender Bounty обмежується технічними вразливостями в продуктах і службах, пов’язаних з Defender. Якщо ви виявили дані клієнтів під час проведення своїх досліджень або не впевнені, чи безпечно продовжувати, будь ласка, зупиніться і зв’яжіться з нами”, – зазначає технологічний гігант.

Ознайомтесь з іншими популярними матеріалами:

Windows 11 тепер дозволяє витягувати текст зі скринів та розмивати фотофон

Windows 12 вимагатиме підписку, а в 11 версії знайшли приховану гру

Microsoft заплатить $15 тис. тому, хто знайде баги Bing AI

Джерело: Securityweek

google news
credit link image
×
Підписуйтесь на нас в Telegram та Viber!