Microsoft, Defender ile ilgili ürün ve hizmetlerdeki güvenlik açıklarını ortaya çıkarmayı amaçlayan yeni bir hata ödül programını duyurdu ve katılımcılara en kritik hatalar için 20.000 dolara kadar kazanma olanağı sunuyor.
Microsoft Defender hata ödül programı
Microsoft Defender, Microsoft kullanıcılarının güvenliğini sağlamak ve korumak için oluşturulmuş çeşitli ürün ve hizmetleri içerir.
“ [Microsoft Defender Bounty Program] Şirket, uç nokta API’leri için Microsoft Defender’a odaklanarak sınırlı bir kapsam ile başlayacak ve zaman içinde Defender markasına ait diğer ürünleri de kapsayacak şekilde genişleyecek” dedi.
Katılımcılar, Microsoft müşterilerinin güvenliği üzerinde “doğrudan ve kanıtlanabilir etkisi” olan “önemli” güvenlik açıklarını bildirmelidir.
Aşağıdaki türdeki güvenlik açıkları kapsam dahilindedir:
- Siteler arası komut dosyası çalıştırma (XSS)
- Siteler arası istek sahteciliği (CSRF)
- Sunucu tarafı istek sahteciliği (SSRF)
- Kiracılar arası veri tahrifatı veya erişimi
- Güvenli olmayan doğrudan nesne referansları
- Güvenli olmayan seri durumdan çıkarma
- Enjeksiyon açıkları
- Sunucu tarafı kod yürütme
- Önemli güvenlik yanlış yapılandırması (kullanıcıdan kaynaklanmadığında)
- Bilinen güvenlik açıklarına sahip bileşenlerin kullanılması (kullanılabilirliğin tam PoC’si gereklidir)
Kritik veya Önemli önem derecesine sahip güvenlik açıklarını bildiren katılımcılar, 500 ila 20.000 ABD Doları arasında ödüller kazanabilirler. En büyük ödüller, kritik uzaktan kod yürütme kusurları hakkında yüksek kaliteli raporlar sunan hata avcılarına ayrılmıştır.
“Güvenlik açığının ciddiyeti ve etkisi ile gönderimin kalitesine bağlı olarak, tamamen Microsoft’un takdirine bağlı olarak daha yüksek ödüller verilmesi mümkündür. Şirket, uygun başvurulara en yüksek yeterlilik ödülü verilecektir” dedi.
Her zamanki gibi, aynı güvenlik açığı için birden fazla rapor olması durumunda, ödül için ilk gönderim dikkate alınacaktır.
Ödül programının kapsamı Defender ile ilgili ürün ve hizmetlerdeki teknik açıklarla sınırlıdır.
Geçen ay Microsoft, yapay zeka destekli “Bing deneyiminde” güvenlik açıklarını bulup bildirmeleri durumunda araştırmacılara 15.000 dolara kadar teklif veren bir yapay zeka hata ödül programı başlattı.