Microsoft заплатить $20 000: за що
Новая программа Microsoft Defender Bounty Program стартует с Defender for Endpoint API, но технологический гигант заявляет, что со временем к ней будут добавлены и другие продукты под брендом Defender.
«Программа Microsoft Defender Bounty Program приглашает исследователей со всего мира выявлять уязвимости в продуктах и сервисах Defender и делиться ими с нашей командой», — говорится в сообщении компании.
Исследователи-участники могут получить от $500 до $20 000 за обнаруженные недостатки, в зависимости от влияния и качества отчета.
Самые высокие вознаграждения, по словам Microsoft, могут быть присуждены за ошибки удаленного выполнения кода (RCE) критической важности. Компания готова выплатить до $8 000 за критическое нарушение привилегий и разглашение информации, а также может предложить до $3 000 за уязвимости, связанные с подделкой и фальсификацией.
Чтобы получить вознаграждение за обнаружение уязвимостей, исследователи должны сообщить об уязвимостях, которые относятся к сфере действия программы, о которых ранее не сообщалось, и которые могут быть воспроизведены в последней, полностью исправленной версии продукта.
К уязвимостям в программе относятся межсайтовой скриптинг (XSS), подделка межсайтовых запросов (CSRF), подделка запросов на стороне сервера (SSRF), межпользовательский доступ к данным, опасные прямые ссылки на объекты, выполнение кода на стороне сервера, а также проблемы с неправильной конфигурацией безопасности.
Отчеты, охватывающие компоненты с известными уязвимостями, должны также включать код эксплойтов для подтверждения концепции (PoC), отмечает технологический гигант.
Отчеты должны быть четкими и лаконичными, а также содержать информацию, необходимую для воспроизведения проблемы.
Все отчеты, по словам Microsoft, должны быть поданы через портал для исследователей MSRC Researcher Portal, в них должно быть указано, к какому сценарию с высокой степенью воздействия они подпадают, а также описан вектор атаки для бага.
«Сфера действия программы Defender Bounty ограничивается техническими уязвимостями в продуктах и службах, связанных с Defender. Если вы обнаружили данные клиентов во время проведения своих исследований или не уверены, безопасно ли продолжать, пожалуйста, остановитесь и свяжитесь с нами», — отмечает технологический гигант.