Трудно поверить, что несколько лет назад корпорация Microsoft отвергала программы Bug Bounty и категорически отказывалась платить независимым исследователям за найденные уязвимости. Даже когда это стало общепринятой практикой среди почти всех крупных софтверных компаний, Microsoft гнула свою линию.
К чести редмондского гиганта, он признал ошибку. Сначала ввели программу поощрений за найденные уязвимости в операционной системе Windows и браузере Internet Explorer, а сейчас Microsoft расширила эту программу на онлайновые сервисы в рамках инициативы Microsoft Online Services Bug Bounty.
Действие программы началось 23 сентября 2014 года. Минимальная сумма вознаграждения составляет 500 долларов США. Максимальная — не ограничена и зависит от опасности уязвимости, на усмотрение специалистов Microsoft.
- Межсайтовый скриптинг (XSS)
- Межсайтовая подделка запроса (CSRF)
- Неавторизованный доступ или фальсификация данных
- Небезопасные прямые ссылки на объекты
- Инъекции
- Изъяны аутентификации
- Исполнение кода на стороне сервера
- Эскалация привилегий
- Значительные погрешности в настройке сервера
Microsoft оставляет за собой право отвергнуть любую уязвимость, которая не соответствует приведённым критериям.
На вознаграждение могут претендовать уязвимости в следующих доменах:
- portal.office.com
- *.outlook.com (Office 365 для бизнеса, не пользовательские сервисы “outlook.com”)
- outlook.office365.com
- login.microsoftonline.com
- *.sharepoint.com
- *.lync.com
- *.officeapps.live.com
- www.yammer.com
- api.yammer.com
- adminwebservice.microsoftonline.com
- provisioningapi.microsoftonline.com
- graph.windows.net
24.09.2014 в 15:42
В их же случае это ж так разориться можно.
Но, в конце концов, не выдержала и прогнулась. А знаете, почему? Всё из-за того, что президент у неё неправильный.
25.09.2014 в 09:50
Всё равно, хорошие баги будут продавать тому, кто больше заплатит. А вообще — политика Microsoft наводит на мысль о скудоумии. То они продвигают плиточный интерфейс, потом героически признавая ошибки, то делают то же самое с Bug Bounty. Видимо, по Рузвельту, ищут верный путь, перепробовав все возможные.
25.09.2014 в 15:55
Ну нету у нас в языке «оплаты за». Есть «оплата багов», есть «плата за баги», есть «плата за нахождение багов», но не оплата за баги!!! Автор статей кондуктором не работал до этого?