Korporācija Microsoft paziņo par programmu “Identity Bounty Programme” nopietnu ievainojamību atklāšanai tās identitātes pakalpojumos

Korporācija Microsoft paziņo par programmu “Identity Bounty Programme” nopietnu ievainojamību atklāšanai tās identitātes pakalpojumos

Microsoft / Korporācija Microsoft paziņo par programmu “Identity Bounty Programme” nopietnu ievainojamību atklāšanai tās identitātes pakalpojumos 2 minūtes lasīts

Otrdien, 17. jūlijāth, Microsoft paziņoja par to Identitātes veltes programma kas piešķir prēmiju kļūdu pētniekiem un medniekiem, kuri savos identitātes pakalpojumos atklāj jebkādas ar drošību saistītas vājās vietas.

Pēc Filipa Misnera teiktā , Microsoft drošības reaģēšanas centra galvenais drošības grupas vadītājs, Microsoft ir ieguldījis ievērojamus ieguldījumus savu patērētāju un uzņēmuma identitātes risinājumu privātumā un drošībā un ir koncentrējies uz pastāvīgu spēcīgas autentifikācijas, drošas pierakstīšanās sesiju, API drošības un šādu ar kritisko infrastruktūru saistītu uzdevumu pastāvīgu uzlabošanu. Viņš komentēja: “Mēs esam ieguldījuši lielus ieguldījumus ar identitāti saistītu specifikāciju izveidē, ieviešanā un uzlabošanā, kas veicina spēcīgu autentifikāciju, drošu pierakstīšanos, sesijas, API drošību un citus kritiskās infrastruktūras uzdevumus kā daļu no standartu ekspertu kopienas. oficiālās standartizācijas institūcijās, piemēram, IETF, W3C vai OpenID Foundation. ”



Šī programma ir uzsākta, lai nodrošinātu, ka šī kritiskā tehnoloģija lietotājiem ir pēc iespējas drošāka. Tas piedāvā kļūdu un drošības pētniekiem iespēju privāti atklāt Microsoft identitātes pakalpojumu vājās vietas. Tas ļaus uzņēmumam atrisināt problēmu pirms tā tehniskās detaļas publicēšanas.

Izmaksas informācija

Šīs atalgojuma programmas izmaksas būs no 500 līdz 100 000 ASV dolāriem, kas ir atkarīgs no pētnieku atrastās kļūdas ietekmes.

Augstas kvalitātes iesniegšanaSākotnējā kvalitātes iesniegšanaNepilnīga iesniegšana
Nozīmīgs autentifikācijas apvedceļšLīdz 40 000 USDLīdz 10 000 USDSākot no 1000 USD
Daudzfaktoru autentifikācijas apvedceļšLīdz 100 000 USDLīdz 50 000 USDSākot no 1000 USD
Standarta dizaina ievainojamībasLīdz 100 000 USDLīdz 30 000 USDSākot no 2500 USD
Uz standartiem balstītas ieviešanas ievainojamībasLīdz 75 000 USDLīdz 25 000 USDSākot no 2500 USD
Starp vietņu skriptu izveidošana (XSS)Līdz 10 000 USDLīdz 4000 USDSākot no 1000 USD
Vairāku vietņu pieprasījumu viltojums (CSRF)Līdz 20 000 USDLīdz 5000 USDSākot no 500 USD
Autorizācijas kļūdaLīdz 8000 USDLīdz 4000 USDSākot no 500 USD

Kritēriji atbilstošam iesniegumam



Microsoft jānosūta ievainojamības iesniegumi atbilst norādītajiem kritērijiem :

  • Identificējiet oriģinālu un iepriekš neziņotu kritisku vai svarīgu ievainojamību, kas tiek reproducēta mūsu Microsoft Identity pakalpojumos, kas ir iekļauti darbības jomā.
  • Identificējiet oriģinālu un iepriekš neziņotu ievainojamību, kuras rezultātā tiek pārņemts Microsoft konts vai Azure Active Directory konts.
  • Identificējiet oriģinālo un iepriekš neziņoto ievainojamību uzskaitītajos OpenID standartos vai ar protokolu, kas ieviests mūsu sertificētajos produktos, pakalpojumos vai bibliotēkās.
  • Iesniegt pret jebkuru Microsoft Authenticator lietojumprogrammas versiju, bet balvu prēmijas tiks izmaksātas tikai tad, ja kļūda tiks atkārtota salīdzinājumā ar jaunāko, publiski pieejamo versiju.
  • Iekļaujiet problēmas aprakstu un kodolīgus, viegli saprotamus atkārtojamības soļus. (Tas ļauj iesniegumus apstrādāt pēc iespējas ātrāk un atbalsta vislielāko samaksu par ziņoto ievainojamības veidu.)
  • Iekļaujiet ievainojamības ietekmi
  • Iekļaujiet uzbrukuma vektoru, ja tas nav acīmredzams
  • Mobilajām lietojumprogrammām ievainojamības izpēte ir jāatveido jaunākajā un atjauninātajā mobilās OS un lietotnes versijā.

Atklātajai kļūdai ir jāietekmē kāds no šiem rīkiem:

  • windows.net
  • microsoftonline.com
  • live.com
  • live.com
  • windowsazure.com
  • activedirectory.windowsazure.com
  • activedirectory.windowsazure.com
  • office.com
  • microsoftonline.com
  • Microsoft autentifikators (iOS un Android lietojumprogrammas) *
  • OpenID Foundation - OpenID Connect ģimene
    • OpenID Connect Core
    • OpenID Connect Discovery
    • OpenID Connect sesija
    • OAuth 2.0 vairāku veidu atbildes
    • OAuth 2.0 veidlapa pēc atbildes veidiem

Programmai ir jēga, ņemot vērā, ka tai ir miljoniem reģistrētu lietotāju visā pasaulē.



Var iegūt sīkāku informāciju par programmu, tostarp apmaksas kritērijus, aizliegtas pētījumu drošības metodes un neatbilstošu iesniegumu kritērijus šeit .

Tagi Microsoft