Microsoft, Kimlik Hizmetlerinde Ciddi Güvenlik Açıklarını Keşfetmeye Yönelik 'Kimlik Ödül Programını' Duyurdu

Haberler
Microsoft / Microsoft, Kimlik Hizmetlerinde Ciddi Güvenlik Açıklarını Keşfetmeye Yönelik 'Kimlik Ödül Programını' Duyurdu 2 dakika okundu

17 Temmuz SalıinciMicrosoft, Identity Bounty Programı Kimlik hizmetlerinde güvenlikle ilgili güvenlik açıklarını keşfeden böcek araştırmacıları ve avcılar için premium bir ödül verir.



pof yardım merkezi profili kaldırmaya yardım ediyor

Phillip Misner'a göre , Microsoft Güvenlik Yanıt Merkezi Baş Güvenlik Grup Müdürü, Microsoft, tüketici ve kurumsal kimlik çözümlerinin gizliliğine ve güvenliğine büyük yatırım yaptı ve güçlü kimlik doğrulama, güvenli oturum açma oturumları, API güvenliği ve bu tür kritik altyapı ile ilgili görevlerin sürekli iyileştirilmesine odaklandı. 'Standartlar uzmanları topluluğunun bir parçası olarak güçlü kimlik doğrulamasını, güvenli oturum açmayı, oturumları, API güvenliğini ve diğer kritik altyapı görevlerini teşvik eden kimlikle ilgili özelliklerin oluşturulması, uygulanması ve iyileştirilmesine büyük yatırım yaptık. IETF, W3C veya OpenID Foundation gibi resmi standart organları içinde. '

Bu program, bu kritik teknolojinin kullanıcılar için olabildiğince güvenli kalmasını sağlamak için başlatılmıştır. Hata ve güvenlik araştırmacılarına kimlik hizmetlerindeki güvenlik açıklarını Microsoft'a özel olarak ifşa etme şansı sunar. Bu, şirketin teknik ayrıntılarını yayınlamadan önce sorunu çözmesini sağlayacaktır.



Ödeme Ayrıntıları

Bu ödül programı için ödemeler, araştırmacıların bulduğu hatanın etkisine bağlı olarak 500 ila 100.000 ABD Doları arasında değişecektir.



Yüksek Kaliteli GönderimTemel Kalite GönderimiEksik Gönderim
Önemli Kimlik Doğrulamasını Atlama40.000 $ 'a kadar10.000 $ 'a kadar1.000 $ 'dan itibaren
Çok Faktörlü Kimlik Doğrulama Atlama100.000 $ 'a kadar50.000 $ 'a kadar1.000 $ 'dan itibaren
Standartlar tasarım güvenlik açıkları100.000 $ 'a kadar30.000 $ 'a kadar2,500 ABD Dolarından başlayan fiyatlarla
Standartlara dayalı uygulama güvenlik açıkları75.000 $ 'a kadar25.000 $ 'a kadar2,500 ABD Dolarından başlayan fiyatlarla
Siteler Arası Komut Dosyası (XSS)10.000 $ 'a kadar4.000 $ 'a kadar1.000 $ 'dan itibaren
Siteler Arası İstek Sahteciliği (CSRF)20.000 $ 'a kadar5.000 $ 'a kadar500 $ 'dan itibaren
Yetkilendirme Kusuru8.000 $ 'a kadar4.000 $ 'a kadar500 $ 'dan itibaren

Uygun Bir Gönderi için Kriterler



Microsoft'a gönderilen güvenlik açığı gönderimleri, verilen kriterleri karşılar :

yönetim araçları klasörü boş
  • Kapsam dahilinde listelenen Microsoft Kimlik hizmetlerimizde çoğalan orijinal ve daha önce bildirilmemiş kritik veya önemli bir güvenlik açığını belirleyin.
  • Bir Microsoft Hesabı veya Azure Active Directory Hesabı'nın devralınmasıyla sonuçlanan orijinal ve daha önce bildirilmemiş bir güvenlik açığını belirleyin.
  • Listelenen OpenID standartlarında veya sertifikalı ürünlerimizde, hizmetlerimizde veya kitaplıklarımızda uygulanan protokolde orijinal ve daha önce bildirilmemiş bir güvenlik açığını belirleyin.
  • Microsoft Authenticator uygulamasının herhangi bir sürümüne karşı gönderin, ancak ödül ödülleri yalnızca hatanın kamuya açık en son sürüme göre yeniden üretilmesi durumunda ödenecektir.
  • Sorunun bir açıklamasını ve kolayca anlaşılan kısa tekrarlanabilirlik adımlarını ekleyin. (Bu, gönderimlerin olabildiğince hızlı işlenmesine olanak tanır ve bildirilen güvenlik açığı türü için en yüksek ödemeyi destekler.)
  • Güvenlik açığının etkisini dahil edin
  • Belirgin değilse bir saldırı vektörü ekleyin
  • Mobil uygulamalar için güvenlik açığı araştırması, mobil işletim sisteminin ve uygulamanın en son ve güncellenmiş sürümünde yeniden oluşturulmalıdır.

Ayrıca, keşfedilen hata aşağıdaki araçlardan herhangi birini etkilemelidir:

  • windows.net
  • microsoftonline.com
  • live.com
  • live.com
  • windowsazure.com
  • activedirectory.windowsazure.com
  • activedirectory.windowsazure.com
  • office.com
  • microsoftonline.com
  • Microsoft Authenticator (iOS ve Android uygulamaları) *
  • OpenID Vakfı - OpenID Connect Ailesi
    • OpenID Connect Core
    • OpenID Connect Keşfi
    • OpenID Connect Oturumu
    • OAuth 2.0 Çoklu Yanıt Türleri
    • OAuth 2.0 Form Sonrası Yanıt Türleri

Program, tüm dünyada milyonlarca kayıtlı kullanıcıya sahip olduğu için mantıklı geliyor.



Windows 10 otomatik yeniden başlatmayı devre dışı bırak 2018

Ödeme kriterleri, yasak araştırma güvenlik yöntemleri ve uygun olmayan sunumlar için kriterler dahil olmak üzere program hakkında daha fazla ayrıntı elde edilebilir. buraya .

Etiketler Microsoft