Трудно поверить, что несколько лет назад корпорация Microsoft отвергала программы Bug Bounty и категорически отказывалась платить независимым исследователям за найденные уязвимости. Даже когда это стало общепринятой практикой среди почти всех крупных софтверных компаний, Microsoft гнула свою линию.

К чести редмондского гиганта, он признал ошибку. Сначала ввели программу поощрений за найденные уязвимости в операционной системе Windows и браузере Internet Explorer, а сейчас Microsoft расширила эту программу на онлайновые сервисы в рамках инициативы Microsoft Online Services Bug Bounty.

Действие программы началось 23 сентября 2014 года. Минимальная сумма вознаграждения составляет 500 долларов США. Максимальная — не ограничена и зависит от опасности уязвимости, на усмотрение специалистов Microsoft.

  • Межсайтовый скриптинг (XSS)
  • Межсайтовая подделка запроса (CSRF)
  • Неавторизованный доступ или фальсификация данных
  • Небезопасные прямые ссылки на объекты
  • Инъекции
  • Изъяны аутентификации
  • Исполнение кода на стороне сервера
  • Эскалация привилегий
  • Значительные погрешности в настройке сервера

Microsoft оставляет за собой право отвергнуть любую уязвимость, которая не соответствует приведённым критериям.

На вознаграждение могут претендовать уязвимости в следующих доменах:

  • portal.office.com
  • *.outlook.com (Office 365 для бизнеса, не пользовательские сервисы “outlook.com”)
  • outlook.office365.com
  • login.microsoftonline.com
  • *.sharepoint.com
  • *.lync.com
  • *.officeapps.live.com
  • www.yammer.com
  • api.yammer.com
  • adminwebservice.microsoftonline.com
  • provisioningapi.microsoftonline.com
  • graph.windows.net



3 комментария

  1. 24.09.2014 at 15:42

    несколько лет назад корпорация Microsoft отвергала программы Bug Bounty и категорически отказывалась платить независимым исследователям за найденные уязвимости

    В их же случае это ж так разориться можно.

    Даже когда это стало общепринятой практикой среди почти всех крупных софтверных компаний, Microsoft гнула свою линию.

    Но, в конце концов, не выдержала и прогнулась. А знаете, почему? Всё из-за того, что президент у неё неправильный.

    • 25.09.2014 at 09:50

      Всё равно, хорошие баги будут продавать тому, кто больше заплатит. А вообще — политика Microsoft наводит на мысль о скудоумии. То они продвигают плиточный интерфейс, потом героически признавая ошибки, то делают то же самое с Bug Bounty. Видимо, по Рузвельту, ищут верный путь, перепробовав все возможные.

  2. 25.09.2014 at 15:55

    Ну нету у нас в языке «оплаты за». Есть «оплата багов», есть «плата за баги», есть «плата за нахождение багов», но не оплата за баги!!! Автор статей кондуктором не работал до этого?

Оставить мнение