17 Temmuz SalıinciMicrosoft, Identity Bounty Programı Kimlik hizmetlerinde güvenlikle ilgili güvenlik açıklarını keşfeden böcek araştırmacıları ve avcılar için premium bir ödül verir.
Phillip Misner'a göre , Microsoft Güvenlik Yanıt Merkezi Baş Güvenlik Grup Müdürü, Microsoft, tüketici ve kurumsal kimlik çözümlerinin gizliliğine ve güvenliğine büyük yatırım yaptı ve güçlü kimlik doğrulama, güvenli oturum açma oturumları, API güvenliği ve bu tür kritik altyapı ile ilgili görevlerin sürekli iyileştirilmesine odaklandı. 'Standartlar uzmanları topluluğunun bir parçası olarak güçlü kimlik doğrulamasını, güvenli oturum açmayı, oturumları, API güvenliğini ve diğer kritik altyapı görevlerini teşvik eden kimlikle ilgili özelliklerin oluşturulması, uygulanması ve iyileştirilmesine büyük yatırım yaptık. IETF, W3C veya OpenID Foundation gibi resmi standart organları içinde. '
Bu program, bu kritik teknolojinin kullanıcılar için olabildiğince güvenli kalmasını sağlamak için başlatılmıştır. Hata ve güvenlik araştırmacılarına kimlik hizmetlerindeki güvenlik açıklarını Microsoft'a özel olarak ifşa etme şansı sunar. Bu, şirketin teknik ayrıntılarını yayınlamadan önce sorunu çözmesini sağlayacaktır.
Ödeme Ayrıntıları
Bu ödül programı için ödemeler, araştırmacıların bulduğu hatanın etkisine bağlı olarak 500 ila 100.000 ABD Doları arasında değişecektir.
Yüksek Kaliteli Gönderim | Temel Kalite Gönderimi | Eksik Gönderim | |
Önemli Kimlik Doğrulamasını Atlama | 40.000 $ 'a kadar | 10.000 $ 'a kadar | 1.000 $ 'dan itibaren |
Çok Faktörlü Kimlik Doğrulama Atlama | 100.000 $ 'a kadar | 50.000 $ 'a kadar | 1.000 $ 'dan itibaren |
Standartlar tasarım güvenlik açıkları | 100.000 $ 'a kadar | 30.000 $ 'a kadar | 2,500 ABD Dolarından başlayan fiyatlarla |
Standartlara dayalı uygulama güvenlik açıkları | 75.000 $ 'a kadar | 25.000 $ 'a kadar | 2,500 ABD Dolarından başlayan fiyatlarla |
Siteler Arası Komut Dosyası (XSS) | 10.000 $ 'a kadar | 4.000 $ 'a kadar | 1.000 $ 'dan itibaren |
Siteler Arası İstek Sahteciliği (CSRF) | 20.000 $ 'a kadar | 5.000 $ 'a kadar | 500 $ 'dan itibaren |
Yetkilendirme Kusuru | 8.000 $ 'a kadar | 4.000 $ 'a kadar | 500 $ 'dan itibaren |
Uygun Bir Gönderi için Kriterler
Microsoft'a gönderilen güvenlik açığı gönderimleri, verilen kriterleri karşılar :
- Kapsam dahilinde listelenen Microsoft Kimlik hizmetlerimizde çoğalan orijinal ve daha önce bildirilmemiş kritik veya önemli bir güvenlik açığını belirleyin.
- Bir Microsoft Hesabı veya Azure Active Directory Hesabı'nın devralınmasıyla sonuçlanan orijinal ve daha önce bildirilmemiş bir güvenlik açığını belirleyin.
- Listelenen OpenID standartlarında veya sertifikalı ürünlerimizde, hizmetlerimizde veya kitaplıklarımızda uygulanan protokolde orijinal ve daha önce bildirilmemiş bir güvenlik açığını belirleyin.
- Microsoft Authenticator uygulamasının herhangi bir sürümüne karşı gönderin, ancak ödül ödülleri yalnızca hatanın kamuya açık en son sürüme göre yeniden üretilmesi durumunda ödenecektir.
- Sorunun bir açıklamasını ve kolayca anlaşılan kısa tekrarlanabilirlik adımlarını ekleyin. (Bu, gönderimlerin olabildiğince hızlı işlenmesine olanak tanır ve bildirilen güvenlik açığı türü için en yüksek ödemeyi destekler.)
- Güvenlik açığının etkisini dahil edin
- Belirgin değilse bir saldırı vektörü ekleyin
- Mobil uygulamalar için güvenlik açığı araştırması, mobil işletim sisteminin ve uygulamanın en son ve güncellenmiş sürümünde yeniden oluşturulmalıdır.
Ayrıca, keşfedilen hata aşağıdaki araçlardan herhangi birini etkilemelidir:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (iOS ve Android uygulamaları) *
- OpenID Vakfı - OpenID Connect Ailesi
- OpenID Connect Core
- OpenID Connect Keşfi
- OpenID Connect Oturumu
- OAuth 2.0 Çoklu Yanıt Türleri
- OAuth 2.0 Form Sonrası Yanıt Türleri
Program, tüm dünyada milyonlarca kayıtlı kullanıcıya sahip olduğu için mantıklı geliyor.
Ödeme kriterleri, yasak araştırma güvenlik yöntemleri ve uygun olmayan sunumlar için kriterler dahil olmak üzere program hakkında daha fazla ayrıntı elde edilebilir. buraya .
Etiketler Microsoft