Трудно поверить, что несколько лет назад корпорация Microsoft отвергала программы Bug Bounty и категорически отказывалась платить независимым исследователям за найденные уязвимости. Даже когда это стало общепринятой практикой среди почти всех крупных софтверных компаний, Microsoft гнула свою линию.

К чести редмондского гиганта, он признал ошибку. Сначала ввели программу поощрений за найденные уязвимости в операционной системе Windows и браузере Internet Explorer, а сейчас Microsoft расширила эту программу на онлайновые сервисы в рамках инициативы Microsoft Online Services Bug Bounty.

Действие программы началось 23 сентября 2014 года. Минимальная сумма вознаграждения составляет 500 долларов США. Максимальная — не ограничена и зависит от опасности уязвимости, на усмотрение специалистов Microsoft.

  • Межсайтовый скриптинг (XSS)
  • Межсайтовая подделка запроса (CSRF)
  • Неавторизованный доступ или фальсификация данных
  • Небезопасные прямые ссылки на объекты
  • Инъекции
  • Изъяны аутентификации
  • Исполнение кода на стороне сервера
  • Эскалация привилегий
  • Значительные погрешности в настройке сервера

Microsoft оставляет за собой право отвергнуть любую уязвимость, которая не соответствует приведённым критериям.

На вознаграждение могут претендовать уязвимости в следующих доменах:

  • portal.office.com
  • *.outlook.com (Office 365 для бизнеса, не пользовательские сервисы “outlook.com”)
  • outlook.office365.com
  • login.microsoftonline.com
  • *.sharepoint.com
  • *.lync.com
  • *.officeapps.live.com
  • www.yammer.com
  • api.yammer.com
  • adminwebservice.microsoftonline.com
  • provisioningapi.microsoftonline.com
  • graph.windows.net

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    3 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии