Трудно поверить, что несколько лет назад корпорация Microsoft отвергала программы Bug Bounty и категорически отказывалась платить независимым исследователям за найденные уязвимости. Даже когда это стало общепринятой практикой среди почти всех крупных софтверных компаний, Microsoft гнула свою линию.
К чести редмондского гиганта, он признал ошибку. Сначала ввели программу поощрений за найденные уязвимости в операционной системе Windows и браузере Internet Explorer, а сейчас Microsoft расширила эту программу на онлайновые сервисы в рамках инициативы Microsoft Online Services Bug Bounty.
Действие программы началось 23 сентября 2014 года. Минимальная сумма вознаграждения составляет 500 долларов США. Максимальная — не ограничена и зависит от опасности уязвимости, на усмотрение специалистов Microsoft.
- Межсайтовый скриптинг (XSS)
- Межсайтовая подделка запроса (CSRF)
- Неавторизованный доступ или фальсификация данных
- Небезопасные прямые ссылки на объекты
- Инъекции
- Изъяны аутентификации
- Исполнение кода на стороне сервера
- Эскалация привилегий
- Значительные погрешности в настройке сервера
Microsoft оставляет за собой право отвергнуть любую уязвимость, которая не соответствует приведённым критериям.
На вознаграждение могут претендовать уязвимости в следующих доменах:
- portal.office.com
- *.outlook.com (Office 365 для бизнеса, не пользовательские сервисы “outlook.com”)
- outlook.office365.com
- login.microsoftonline.com
- *.sharepoint.com
- *.lync.com
- *.officeapps.live.com
- www.yammer.com
- api.yammer.com
- adminwebservice.microsoftonline.com
- provisioningapi.microsoftonline.com
- graph.windows.net
