新闻链接：http://http://www.freebuf.com/news/45362.html

新闻时间： 2014-09-28 

新闻正文：9月24日，微软宣布开启“在线服务除虫赏金计划”(Microsoft Online Services Bug Bounty Program)，针对微软旗下提供的多项在线服务，安全研究人员都可以向微软官方提交漏洞获取奖金。每个符合要求及类型的漏洞悬赏金额都在500美元以上，并且根据报告漏洞的影响，奖金的金额可能更高。

漏洞接收要求

接收漏洞的类型有
跨站脚本漏洞（XSS）
跨站请求伪造漏洞（CSRF）
绕过授权访问漏洞
不安全的对象引用
注入漏洞
认证漏洞
服务端代码执行
权限提升
重大安全配置错误

白帽子提交的所有漏洞都会由微软公司直接处理，下面的域名属于可提交的范围
portal.office.com
*.outlook.com (Office 365商业应用, 包括“outlook.com”下的服务)
outlook.office365.com
login.microsoftonline.com
*.sharepoint.com
*.lync.com
*.officeapps.live.com
www.yammer.com
api.yammer.com
adminwebservice.microsoftonline.com
provisioningapi.microsoftonline.com
graph.windows.net

微软表示，其将计划将更多的在线服务囊括到测试项目中来。目标与其他的漏洞奖励计划是相同的：尽可能多的发现未知的安全问题，让我们的客户更加迅捷地获得更安全的保护。

不接收的漏洞

话虽然这么说，不过以下的漏洞类别是不能获得漏洞奖励的：
·缺乏安全的HTTP头（比如“X-FRAME-OPTIONS”）或者缺乏安全的cookies标志（比如“httponly”）
·服务器信息披露，如服务器IP地址，服务器名称等
·仅影响不受支持的浏览器和插件的网页应用程序
·确认用户是否存在的枚举漏洞
·用户几乎不会用到的操作而产生的漏洞
·URL重定向漏洞（除非结合其他漏洞会产生更严重的漏洞）
·平台类漏洞，不单单在微软的服务器中出现（比如Apache或者IIS漏洞）
·需要微软用户登录权限的XSS漏洞（比如您使用了微软的产品，需要登录之后才会触发的漏洞）
·低危害的CSRF漏洞
·DDOS
·Cookie重放漏洞

漏洞提交地址

如果你发现了漏洞，微软欢迎您发送Email到secure@microsoft.com

[参考信息来源：http://blogs.office.com/2014/09/23/microsoft-online-services-bug-bounty-program-launches-office-365，转载请注明来自FreeBuf.COM]

如文中未特别声明转载请注明出自：FreebuF.COM

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！