Microsoft 很高兴地宣布,将 Exchange 本地版、SharePoint 本地版和 Skype for Business 本地版加入应用与本地服务器漏洞赏金计划。
通过这一扩展计划,我们鼓励研究人员发现并报告高影响安全漏洞,以帮助保护客户。对于符合条件的提交,我们提供高达 26,000 美元的奖励。以下产品现在有资格获得赏金奖励:
- Exchange 本地版
- SharePoint 本地版
- Skype for Business 本地版
不仅如此!该赏金计划还包括高影响场景,为对客户安全潜在影响最大的研究领域提供最高奖励。
| 安全影响 | 严重性乘数 |
|---|---|
| 仅限 EXCHANGE:服务器端请求伪造允许攻击者向任意 URL 发出服务器端 HTTP 请求。 | 20% |
| 仅限 SHAREPOINT:经过身份验证的服务器端请求伪造允许攻击者向任意 URL 发出经过身份验证的服务器端 HTTP 请求。 | 20% |
| 用户可控数据的不安全反序列化,导致服务器上的远程代码执行。 | 30% |
| 在服务器上用户可控位置写入用户可控数据的任意文件。 | 20% |
| 身份验证绕过允许未经身份验证的利用,导致漏洞的大规模利用。 | 20% |
| Exchange 紧急缓解服务(EEMS)中的漏洞。 | 15% |
要了解有关符合条件的范围和奖励金额的更多信息,请访问应用与本地服务器漏洞赏金计划页面。
Microsoft 的漏洞赏金计划只是我们投资于与全球安全研究社区合作以帮助保护 Microsoft 客户的众多方式之一。如果您对新的本地服务器范围有任何疑问,或对任何其他安全研究激励计划有一般性咨询,请通过 bounty@microsoft.com 联系我们。
Madeline Eckert 和 Lynn Miyashita,MSRC