Корпорація Microsoft оголосила, що виплачуватиме до $20 000 за вразливості, про які буде повідомлено в рамках нової програми винагороди за виправлення помилок у продуктах Defender
Нова програма Microsoft Defender Bounty Program стартує з Defender for Endpoint API, але технологічний гігант заявляє, що з часом до неї будуть додані й інші продукти під брендом Defender.
“Програма Microsoft Defender Bounty Program запрошує дослідників з усього світу виявляти вразливості в продуктах і сервісах Defender і ділитися ними з нашою командою”, – йдеться в повідомленні компанії.
Дослідники-учасники можуть отримати від $500 до $20 000 за виявлені недоліки, залежно від впливу та якості звіту.
Найвищі винагороди, за словами Microsoft, можуть бути присуджені за помилки віддаленого виконання коду (RCE) критичної важливості. Компанія готова виплатити до $8 000 за критичне порушення привілеїв та розголошення інформації, а також може запропонувати до $3 000 за вразливості, пов’язані з підробкою та фальсифікацією.
Щоб отримати винагороду за виявлення вразливостей, дослідники повинні повідомити про вразливості, які належать до сфери дії програми, про які раніше не повідомлялося, і які можуть бути відтворені в останній, повністю виправленій версії продукту.
Читайте також: Microsoft розробила самовчителя для ШІ: як він працює
До уразливостей в програмі належать міжсайтовий скриптинг (XSS), підробка міжсайтових запитів (CSRF), підробка запитів на стороні сервера (SSRF), міжкористувацький доступ до даних, небезпечні прямі посилання на об’єкти, виконання коду на стороні сервера, а також проблеми з неправильною конфігурацією безпеки.
Звіти, що охоплюють компоненти з відомими вразливостями, повинні також включати код експлойтів для підтвердження концепції (PoC), зазначає технологічний гігант.
Читайте також: Розкрито нову техніку криптомайнінгу: її неможливо виявити в Microsoft Azure Automation
Звіти повинні бути чіткими і лаконічними, а також містити інформацію, необхідну для відтворення проблеми.
Усі звіти, за словами Microsoft, мають бути подані через портал для дослідників MSRC Researcher Portal, в них має бути вказано, до якого сценарію з високим ступенем впливу вони підпадають, а також описано вектор атаки для багу.
“Сфера дії програми Defender Bounty обмежується технічними вразливостями в продуктах і службах, пов’язаних з Defender. Якщо ви виявили дані клієнтів під час проведення своїх досліджень або не впевнені, чи безпечно продовжувати, будь ласка, зупиніться і зв’яжіться з нами”, – зазначає технологічний гігант.
Ознайомтесь з іншими популярними матеріалами:
Windows 11 тепер дозволяє витягувати текст зі скринів та розмивати фотофон
Windows 12 вимагатиме підписку, а в 11 версії знайшли приховану гру
Microsoft заплатить $15 тис. тому, хто знайде баги Bing AI
Джерело: Securityweek