V torek, 17. julijath, Je Microsoft napovedal svoj Program Identity Bounty kar daje izjemno nagrado raziskovalcem napak in lovcem, ki v svojih identitetnih storitvah odkrijejo kakršno koli ranljivost, povezano z varnostjo.
Po Phillipu Misnerju , Glavni vodja varnostne skupine Microsoftovega odzivnega centra za varnost, je močno vlagal v zasebnost in varnost svojih rešitev za identiteto potrošnikov in podjetij in se osredotočil na nenehno izboljševanje močne avtentifikacije, varnih sej prijave, varnosti API-ja in takšnih nalog, povezanih s kritično infrastrukturo. Komentiral je: 'Veliko smo vlagali v ustvarjanje, izvajanje in izboljšanje specifikacij, povezanih z identiteto, ki spodbujajo močno preverjanje pristnosti, varno prijavo, seje, varnost API in druge ključne naloge infrastrukture, kot del skupnosti strokovnjakov za standarde. znotraj uradnih organov za standarde, kot so IETF, W3C ali OpenID Foundation. '
Ta program je bil uveden, da zagotovi, da ta kritična tehnologija ostane čim bolj varna za uporabnike. Raziskovalcem napak in varnosti ponuja priložnost, da Microsoftu zasebno razkrijejo ranljivosti v identitetnih storitvah. To bo podjetju omogočilo, da reši težavo pred objavo svojih tehničnih podrobnosti.
Podrobnosti o izplačilu
Izplačila za ta program nagrajevanja se bodo gibala od 500 do 100.000 dolarjev, kar je odvisno od vpliva napak, ki so jih odkrili raziskovalci.
Oddaja visoke kakovosti | Predložitev osnovne kakovosti | Nepopolna oddaja | |
Pomemben obhod za preverjanje pristnosti | Do 40.000 USD | Do 10.000 USD | Od 1.000 dolarjev |
Večfaktorski obhod za preverjanje pristnosti | Do 100.000 dolarjev | Do 50.000 dolarjev | Od 1.000 dolarjev |
Ranljivosti pri oblikovanju standardov | Do 100.000 dolarjev | Do 30.000 dolarjev | Od 2.500 dolarjev |
Ranljivosti izvajanja, ki temeljijo na standardih | Do 75.000 USD | Do 25.000 USD | Od 2.500 dolarjev |
Cross-Site Scripting (XSS) | Do 10.000 USD | Do 4000 dolarjev | Od 1.000 dolarjev |
Ponarejanje zahtev na več mestih (CSRF) | Do 20.000 USD | Do 5000 dolarjev | Od 500 dolarjev |
Napaka dovoljenja | Do 8.000 dolarjev | Do 4000 dolarjev | Od 500 dolarjev |
Merila za upravičeno oddajo
Predlogi o ranljivosti, poslani Microsoftu, morajo izpolnjujejo dane kriterije :
- Ugotovite izvirno in prej neprijavljeno kritično ali pomembno ranljivost, ki se reproducira v naših storitvah Microsoft Identity, ki so navedene v obsegu.
- Ugotovite izvirno in prej neprijavljeno ranljivost, ki povzroči prevzem Microsoftovega računa ali računa Azure Active Directory.
- Ugotovite izvirno in prej neprijavljeno ranljivost v navedenih standardih OpenID ali s protokolom, ki je implementiran v naše certificirane izdelke, storitve ali knjižnice.
- Predložite proti kateri koli različici aplikacije Microsoft Authenticator, vendar bodo nagrade nagrajene le, če se napaka reproducira glede na najnovejšo, javno dostopno različico.
- Vključite opis težave in jedrnate korake obnovljivosti, ki jih je mogoče enostavno razumeti. (To omogoča čim hitrejšo obdelavo vlog in podpira najvišje plačilo za vrsto prijavljene ranljivosti.)
- Vključite vpliv ranljivosti
- Vključite vektor napada, če ni očiten
- Za mobilne aplikacije je treba raziskave ranljivosti reproducirati na najnovejši in posodobljeni različici mobilnega OS in aplikacije.
Odkrita napaka mora vplivati tudi na katero koli od naslednjih orodij:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (aplikacije za iOS in Android) *
- OpenID Foundation - družina OpenID Connect
- OpenID Connect Core
- OpenID Connect Discovery
- OpenID Connect Session
- Več vrst odzivov OAuth 2.0
- Vrste odgovorov po obrazcu OAuth 2.0
Program je smiseln, saj ima na milijone registriranih uporabnikov po vsem svetu.
Več podrobnosti o programu, vključno z merili plačila, prepovedanimi metodami za zaščito raziskav in merili za neupravičene prispevke tukaj .
Oznake Microsoft