提升微软漏洞赏金奖励的实用技巧

今年在Nullcon国际安全会议上，我分享了安全研究人员如何最大化其安全漏洞提交的影响，并在微软漏洞赏金计划下获得更高奖励的实用建议。对于未能到场的人，我有两条核心建议。

首先，将漏洞研究重点放在有资格获得赏金奖励的产品和服务上。合格范围已发布在我们的网站上。我们全年会扩展计划，因此请定期查看新的潜在研究领域，并在Twitter上关注我们以获取新赏金计划的公告。

其次，在报告安全漏洞时，提供清晰、简洁的信息，以帮助我们的工程团队自行复现漏洞。详细且编写良好的说明，甚至短视频，可以使合格属性的可能奖励金额增加一倍以上。

除了讨论在微软赏金计划中寻找漏洞外，我们还希望帮助安全研究人员发展技能。今年我们赞助了20多名研究人员参加会议，其中包括关于硬件和软件安全的实践培训和研讨会。Nullcon有来自印度各地的近2000名参与者，是与该地区安全研究社区联系并观看James Forshaw、Jaya Baloo等人优秀技术演讲的绝佳场所。感谢Antriksh Shah和Payatu团队将大家聚集在一起举办如此盛大的活动。

感谢在Nullcon遇到的每一个人以及参加我演讲的人。有关高质量和高奖励提交的更多详细信息和实际示例，请在此处查看我的演示幻灯片。

祝黑客愉快！Jarek Stanley, @JarekMSFT 高级项目经理 MSRC

所有微软漏洞赏金计划均受此处概述的条款和条件约束。

微软安全响应中心是防御者社区的一部分，处于安全响应演进的前线。二十多年来，我们一直与安全研究人员合作，致力于保护客户和全球在线社区。有关更多信息，请访问我们的网站www.microsoft.com/msrc，并在Twitter上关注我们的页面@msftsecresponse。