Microsoft, 500 $ ile 27.000 $ arasında değişen genişletilmiş hizmetler, daha net yönergeler ve ödül ödülleri sunan Microsoft 365 (M365) Bug Bounty programındaki güncellemeleri duyurdu.
Girişim, Microsoft’un siber güvenlik konusundaki devam eden taahhüdünü ve küresel güvenlik araştırmacılarını kullanıcı güvenliğini artırmak için askere yansıtıyor.
Microsoft 365 Bounty programı, dünya çapında güvenlik araştırmacılarını Office 365 ve Microsoft hesabı gibi belirli M365 hizmet ve ürünlerindeki güvenlik açıklarını ortaya çıkarmaya ve raporlamaya davet ediyor.
Kritik güvenlik açıklarıyla mücadele etmeye odaklanan program, bildirilen sorunları doğrudan ve açıkça kullanıcı güvenliğini etkilemektedir.
Bulguları programın katı kriterlerini karşılayan araştırmacılar, önemli finansal ödüller kazanma şansına sahipler.
Genişletilmiş ödüller ve yüksek etkili senaryolar
Program kapsamındaki uygun başvurular, ılımlı sorunlar için 500 $ ‘dan kritik güvenlik açıkları için en fazla 27.000 $’ a kadar araştırmacılar ödüllerini kazanabilir.
Uzaktan Kod Yürütme (CWE-94 veya CWE-502), kiracılar arası hassas veri sızıntısı veya “karışık milletvekili” sunucu istekleri (CWE-918) yoluyla kimlik doğrulamasını atlama gibi yüksek etkili senaryolar, bonuslarla ek ödüller getirebilir % 15 ila% 80 arasında değişmektedir.
Microsoft, “Sıfır Günü Görevi” etkinliği sırasında gönderileri daha da teşvik ederek ödülleri%50’ye kadar artırıyor.
Kritik güvenlik açıklarına odaklanın
Başvurular, kapsam içi hizmetlerde daha önce bilinmeyen güvenlik açıklarını belirlemeli ve açık ve tekrarlanabilir bir kavram kanıtı (POC) sağlamalıdır.
Kabul edilen sorunlar tipik olarak siteler arası komut dosyası (XSS), güvensiz seansizasyon, SQL enjeksiyonu, sunucu tarafı kod yürütme ve kiracılar arası veri kurcalamayı içerir.
Raporlar, Microsoft’un mühendislik ekiplerinin güvenlik açıklarını hızlı bir şekilde çözmesini sağlayan özlü test adımlarını içermelidir.
Microsoft, güvenlik açığı testinde etik uygulamaları vurgular. Araştırmacılar, problama için test hesapları ve kiracılar kurmaya teşvik edilir, ancak yetkisiz verilere erişmekten, hizmet reddi saldırıları yapmak veya kimlik avı veya sosyal mühendislik taktiklerine katılmaktan kaçınmalıdır.
Program kapsamı kesinlikle M365 hizmetlerindeki teknik güvenlik açıkları ile sınırlıdır ve sorumlu araştırmayı sağlamak için açık bir kurallara uymaktadır.
M365 Bounty programını geliştirerek Microsoft, dış araştırmacılara olan güvenini ve işbirlikçi bir güvenlik ekosistemini geliştirmeye olan bağlılığının altını çiziyor.
Azure ve Dynamics 365 ödül programları gibi ilgili programlarla uyumlu olarak, bu girişim Microsoft’un bulut hizmetleri paketindeki güvenlik açıklarının özenle ele alınmasını sağlar.
Katılmakla ilgilenen güvenlik araştırmacıları, Microsoft’un resmi web sitesinde programın şartlarını ve kaynaklarını inceleyerek daha fazla bilgi edinebilir ve başlayabilir.
Microsoft, küresel olarak uzmanlarla birlikte çalışarak, kullanıcıları için güvenli çözümler sunmayı taahhüt etmeye devam ediyor.
Collect Threat Intelligence with TI Lookup to improve your company’s security - Get 50 Free Request