-
-
微软宣布开启“在线服务除虫赏金计划"
-
发表于: 2014-9-29 18:20 633
-
文章转载出处:www.freebuf.com
9月24日,微软宣布开启“在线服务除虫赏金计划”(Microsoft Online Services Bug Bounty Program),针对微软旗下提供的多项在线服务,安全研究人员都可以向微软官方提交漏洞获取奖金。每个符合要求及类型的漏洞悬赏金额都在500美元以上,并且根据报告漏洞的影响,奖金的金额可能更高。
漏洞接收要求
接收漏洞的类型有
跨站脚本漏洞(XSS)
跨站请求伪造漏洞(CSRF)
绕过授权访问漏洞
不安全的对象引用
注入漏洞
认证漏洞
服务端代码执行
权限提升
重大安全配置错误
白帽子提交的所有漏洞都会由微软公司直接处理,下面的域名属于可提交的范围
portal.office.com
*.outlook.com (Office 365商业应用, 包括“outlook.com”下的服务)
outlook.office365.com
login.microsoftonline.com
*.sharepoint.com
*.lync.com
*.officeapps.live.com
www.yammer.com
api.yammer.com
adminwebservice.microsoftonline.com
provisioningapi.microsoftonline.com
graph.windows.net
微软表示,其将计划将更多的在线服务囊括到测试项目中来。目标与其他的漏洞奖励计划是相同的:尽可能多的发现未知的安全问题,让我们的客户更加迅捷地获得更安全的保护。
不接收的漏洞
话虽然这么说,不过以下的漏洞类别是不能获得漏洞奖励的:
·缺乏安全的HTTP头(比如“X-FRAME-OPTIONS”)或者缺乏安全的cookies标志(比如“httponly”)
·服务器信息披露,如服务器IP地址,服务器名称等
·仅影响不受支持的浏览器和插件的网页应用程序
·确认用户是否存在的枚举漏洞
·用户几乎不会用到的操作而产生的漏洞
·URL重定向漏洞(除非结合其他漏洞会产生更严重的漏洞)
·平台类漏洞,不单单在微软的服务器中出现(比如Apache或者IIS漏洞)
·需要微软用户登录权限的XSS漏洞(比如您使用了微软的产品,需要登录之后才会触发的漏洞)
·低危害的CSRF漏洞
·DDOS
·Cookie重放漏洞
漏洞提交地址
如果你发现了漏洞,微软欢迎您发送Email到secure@microsoft.com
[参考信息来源:http://blogs.office.com/2014/09/23/microsoft-online-services-bug-bounty-program-launches-office-365
9月24日,微软宣布开启“在线服务除虫赏金计划”(Microsoft Online Services Bug Bounty Program),针对微软旗下提供的多项在线服务,安全研究人员都可以向微软官方提交漏洞获取奖金。每个符合要求及类型的漏洞悬赏金额都在500美元以上,并且根据报告漏洞的影响,奖金的金额可能更高。
漏洞接收要求
接收漏洞的类型有
跨站脚本漏洞(XSS)
跨站请求伪造漏洞(CSRF)
绕过授权访问漏洞
不安全的对象引用
注入漏洞
认证漏洞
服务端代码执行
权限提升
重大安全配置错误
白帽子提交的所有漏洞都会由微软公司直接处理,下面的域名属于可提交的范围
portal.office.com
*.outlook.com (Office 365商业应用, 包括“outlook.com”下的服务)
outlook.office365.com
login.microsoftonline.com
*.sharepoint.com
*.lync.com
*.officeapps.live.com
www.yammer.com
api.yammer.com
adminwebservice.microsoftonline.com
provisioningapi.microsoftonline.com
graph.windows.net
微软表示,其将计划将更多的在线服务囊括到测试项目中来。目标与其他的漏洞奖励计划是相同的:尽可能多的发现未知的安全问题,让我们的客户更加迅捷地获得更安全的保护。
不接收的漏洞
话虽然这么说,不过以下的漏洞类别是不能获得漏洞奖励的:
·缺乏安全的HTTP头(比如“X-FRAME-OPTIONS”)或者缺乏安全的cookies标志(比如“httponly”)
·服务器信息披露,如服务器IP地址,服务器名称等
·仅影响不受支持的浏览器和插件的网页应用程序
·确认用户是否存在的枚举漏洞
·用户几乎不会用到的操作而产生的漏洞
·URL重定向漏洞(除非结合其他漏洞会产生更严重的漏洞)
·平台类漏洞,不单单在微软的服务器中出现(比如Apache或者IIS漏洞)
·需要微软用户登录权限的XSS漏洞(比如您使用了微软的产品,需要登录之后才会触发的漏洞)
·低危害的CSRF漏洞
·DDOS
·Cookie重放漏洞
漏洞提交地址
如果你发现了漏洞,微软欢迎您发送Email到secure@microsoft.com
[参考信息来源:http://blogs.office.com/2014/09/23/microsoft-online-services-bug-bounty-program-launches-office-365
赞赏
看原图
赞赏
雪币:
留言: