Във вторник, 17 юлити, Microsoft обяви своя Програма за награди за самоличност което дава първокласна награда за изследователи на грешки и ловци, които открият всякакви уязвимости, свързани със сигурността, в нейните услуги за идентичност.
Според Филип Миснер , Главен мениджър на групата за сигурност на Microsoft Security Response Center, Microsoft инвестира сериозно в поверителността и сигурността на своите решения за идентичност на потребителите и предприятията и се фокусира върху непрекъснатото подобряване на силното удостоверяване, защитените сесии за влизане, защитата на API и такива задачи, свързани с критична инфраструктура. Той коментира: „Ние инвестирахме силно в създаването, внедряването и подобряването на спецификациите, свързани с идентичността, които насърчават силна автентификация, сигурно влизане, сесии, API защита и други важни инфраструктурни задачи, като част от общността на експертите по стандарти в рамките на официални органи за стандарти като IETF, W3C или OpenID Foundation. '
Тази програма е стартирана, за да гарантира, че тази критична технология остава възможно най-сигурна за потребителите. Той предлага на изследователите за грешки и сигурност възможността за разкриване на уязвимости в услугите за самоличност на Microsoft частно. Това ще позволи на компанията да разреши проблема преди публикуването на техническите му подробности.
Подробности за изплащане
Изплащанията за тази програма за награди ще варират от 500 до 100 000 долара, което зависи от въздействието на грешката, която откриха изследователите.
Висококачествено подаване | Изпращане на изходно качество | Непълно подаване | |
Значителен байпас за удостоверяване | До $ 40 000 | До 10 000 долара | От 1000 долара |
Многофакторен байпас за удостоверяване | До 100 000 долара | До 50 000 долара | От 1000 долара |
Стандартите проектират уязвимости | До 100 000 долара | До 30 000 долара | От 2500 долара |
Базирани на стандарти уязвимости при изпълнение | До 75 000 долара | До 25 000 долара | От 2500 долара |
Скриптиране на различни сайтове (XSS) | До 10 000 долара | До 4000 долара | От 1000 долара |
Подправяне на заявки между сайтове (CSRF) | До 20 000 долара | До 5000 долара | От 500 долара |
Неправилно разрешение | До $ 8000 | До 4000 долара | От 500 долара |
Критерии за допустимо подаване
Изпратените до Microsoft уязвимости трябва да трябва отговарят на дадените критерии :
- Идентифицирайте оригинална и неотчетена критична или важна уязвимост, която се възпроизвежда в нашите услуги за идентификация на Microsoft, които са изброени в обхвата.
- Идентифицирайте оригинална и неотчетена преди това уязвимост, която води до поемане на акаунт в Microsoft или акаунт в Azure Active Directory.
- Идентифицирайте оригинална и неотчетена преди това уязвимост в изброените стандарти на OpenID или с протокола, внедрен в нашите сертифицирани продукти, услуги или библиотеки.
- Изпратете срещу която и да е версия на приложението Microsoft Authenticator, но награди за награди ще бъдат изплатени само ако грешката се възпроизвежда срещу последната, публично достъпна версия.
- Включете описание на проблема и кратки стъпки за възпроизводимост, които са лесно разбираеми. (Това позволява възможно най-бързото обработване на подадените материали и поддържа най-високото заплащане за типа на отчитаната уязвимост.)
- Включете въздействието на уязвимостта
- Включете вектор за атака, ако не е очевиден
- За мобилни приложения изследванията за уязвимост трябва да се възпроизвеждат в най-новата и актуализирана версия на мобилната операционна система и приложението.
Също така, откритата грешка трябва да повлияе на някой от следните инструменти:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (приложения за iOS и Android) *
- OpenID Foundation - семейството OpenID Connect
- Ядро на OpenID Connect
- Откриване на OpenID Connect
- OpenID Connect сесия
- OAuth 2.0 Многократни типове отговори
- OAuth 2.0 Типове отговори на формуляри за OAuth 2.0
Програмата има смисъл, тъй като има милиони регистрирани потребители по целия свят.
Повече подробности за програмата, включително критерии за плащане, забранени методи за сигурност на изследванията и критерии за недопустими заявления могат да бъдат получени тук .
Етикети Microsoft