扩展微软漏洞赏金计划的高影响场景奖励
我们很高兴地宣布,在Dynamics 365和Power Platform漏洞赏金计划以及M365漏洞赏金计划中新增基于场景的赏金奖励。通过这些新的基于场景的赏金奖励,我们鼓励研究人员将研究重点放在对客户隐私和安全具有最高潜在影响的漏洞上。符合条件的场景提交奖励最高增加30%(总计26,000美元)。
Dynamics 365和Power Platform漏洞赏金计划
| 场景 | 最高奖励 |
|---|---|
| 跨租户信息泄露 | $20,000 |
M365漏洞赏金计划
符合条件的提交可能获得一般M365赏金奖励基础上15-30%的奖金,并将获得单一最高符合条件的奖励。
| 场景 | 最高奖励 |
|---|---|
| 通过不受信任的输入实现远程代码执行(CWE-94“代码生成控制不当(代码注入)”) | +30% |
| 通过不受信任的输入实现远程代码执行(CWE-502“不受信任数据的反序列化”) | +30% |
| 未经授权的跨租户和跨身份敏感数据泄露(CWE-200“向未经授权的参与者暴露敏感信息”) | +20% |
| 未经授权的跨身份敏感数据泄露(CWE-488“数据元素暴露给错误的会话”) | +20% |
| 可在实际攻击中使用的“混淆代理”漏洞,以绕过身份验证的方式访问资源(CWE-918“服务器端请求伪造(SSRF)”) | +15% |
这些新的赏金奖励是我们与安全研究社区持续合作的一部分,作为微软整体防御安全威胁方法的一部分。如果您对这些新场景或任何其他安全研究激励计划有任何疑问,请通过bounty@microsoft.com与我们联系。
Lynn Miyashita 和 Madeline Eckert,MSRC