宣布启动Azure SSRF安全研究挑战赛
微软兴奋地宣布,在Azure安全实验室计划下启动一项为期三个月的新安全研究挑战赛。Azure服务器端请求伪造(SSRF)研究挑战赛邀请安全研究人员发现并分享Microsoft Azure中的高影响SSRF漏洞。符合资格的提交有资格获得高达60,000美元的赏金奖励,并为识别创新或新颖的攻击模式提供额外奖励。准备好接受挑战了吗?在此处注册获取更新。
微软致力于确保我们的云免受现代威胁的侵害。我们的网络防御运营中心(CDOC)和安全团队全天候工作,实时识别、分析和响应威胁,我们努力通过Azure Sentinel和Azure安全中心等产品帮助客户保护其Azure云环境。与全球安全研究人员社区的合作是我们安全战略的重要组成部分。
这项Azure SSRF研究挑战赛将于2021年8月19日至2021年11月19日进行,提供SSRF研究资源以及与微软云安全团队成员合作的机会。
场景与赏金奖励
在项目期间,我们将为Azure SSRF挑战赛中的特定场景在当前Azure赏金计划的基础上提供高达50%的奖金。要了解有关合格研究挑战范围和奖励金额的更多信息,请访问Azure安全实验室页面。
| 场景 | 奖金金额(最高) |
|---|---|
| 非HTTP协议(例如,FTP反弹攻击) | 50% |
| 存储型SSRF(类似于存储型XSS) | 50% |
| “深度"SSRF 示例:仅在受害者状态机深处才显现的SSRF攻击 示例:SSRF表现在超出直接利用服务向用户暴露的UI/客户端功能之外。 | 50% |
| 多跳SSRF(即,多于一个混淆代理) | 40% |
| SSRF与CSRF结合 | 30% |
| 一般SSRF奖励 | 10% |
微软为何与安全研究人员合作
随着新兴技术和安全威胁的出现,安全格局不断变化。微软寻求不断扩展和改进我们与研究社区合作的方式以减轻这些威胁。通过这次挑战赛,我们不仅能进一步了解如何更好地保护微软用户免受一般SSRF漏洞的侵害,还能与研究人员合作识别并奖励新的创造性攻击模式。
如果您对Azure SSRF研究挑战赛有任何疑问,或对任何其他安全研究激励计划有一般性咨询,请发送电子邮件至 bounty@microsoft.com。
Madeline Eckert, 高级项目经理, MSRC