影响大的场景中微软漏洞赏金计划的扩展
本博客是《Expanding High Impact Scenario Awards for Microsoft Bug Bounty Programs》的摘要翻译版。最新信息请参考原文。
我们很高兴地宣布,Microsoft Dynamics 365 and Power Platform Bounty Program(英文信息)和M365 Bounty Program(英文信息)新增了基于场景的赏金。通过这些新的基于场景的赏金,我们鼓励研究人员专注于可能对客户隐私和安全产生最大影响的漏洞。如果提交了符合条件的场景,我们将增加最高30%(总计26,000美元)的奖励。
Microsoft Dynamics 365 and Power Platform Bounty Program
| 场景 | 最高额 |
|---|---|
| 租户间信息泄露 | $20,000 |
M365 Bounty Program
符合条件的报告除了获得一般M365赏金外,还可以获得15%至30%的额外赏金,从而获得最高奖励。
| 场景 | 最高额 |
|---|---|
| 不可信输入导致的远程代码执行(CWE-94“代码生成控制不当(‘代码注入’)”) | +30% |
| 不可信输入导致的远程代码执行(CWE-502“不可信数据反序列化”) | +30% |
| 未经授权的租户间和ID间敏感数据泄露(CWE-200“向未授权参与者暴露敏感信息”) | +20% |
| 未经授权的ID间敏感数据泄露(CWE-488“数据元素暴露到错误会话”) | +20% |
| 可用于绕过认证访问资源的实用攻击的“Confused deputy(混乱使节问题)”漏洞(CWE-918“服务器端请求伪造(SSRF)”) | +15% |
新的赏金是微软整体方法的一部分,用于与安全研究社区合作,以保护自身免受安全威胁。如果您对新的场景有任何疑问,或对其他安全研究赏金计划有一般性咨询,请通过bounty@microsoft.com(英文)或jpsecure@microsoft.com(日文)联系我们。
Lynn Miyashita and Madeline Eckert, MSRC