Office 365安全研究人员:2017年3月至5月赏金翻倍
本文章是Microsoft Security Response Center博客“Office 365 security researchers: Double your bounties March-May 2017”(2017年3月1日美国时间发布)的翻译版本。
微软致力于保护客户并不断改善安全状况以满足其需求。我们理解研究人员和客户希望验证服务的安全性,以建立对微软及其解决方案的信任。同时,我们认为研究人员在报告Office 365服务的安全缺陷时,应获得赏金以奖励他们对微软的保护。这些发现与内部安全验证工作一起,有助于维护用户的安全。
遵循用户保护和奖励研究人员的政策,我们宣布更新Online Services Bug Bounty计划。在2017年3月1日至5月1日期间,针对Exchange Online和Office 365管理门户提交的合格安全漏洞,我们将支付双倍赏金。
这些属性是Office 365套件的核心Web应用程序。Exchange Online是微软托管的企业电子邮件解决方案,作为从任何终端设备访问电子邮件、日历、联系人和任务等关键用户信息的网关,其安全增强对客户安全至关重要。Office 365管理门户是用于管理租户访问的Web管理界面,该门户在保护租户和租户管理员免受侵害方面扮演关键角色。
在Nullcon 2017的Bountycraft研讨会上,我们将宣布此赏金计划的详细信息,并举办多个培训研讨会,介绍微软如何为Online Service属性分配赏金。我们期待您参加培训会议。
赏金计划的关键要点:
-
双倍赏金支付的域名包括:
- portal.office.com
- outlook.office365.com
- outlook.office.com
- outlook.live.com
- *.outlook.com
-
合格漏洞类型在Online Services Bug Bounty使用条款中列出。
-
双倍赏金支付期为2017年3月1日至5月1日。
-
此期间赏金支付金额为1,000美元至30,000美元。
行动呼吁:将漏洞提交至secure@microsoft.com,并在3月至5月期间获得双倍赏金*。
有关微软赏金计划的最新信息,请参阅此网站(英文)及相关条款和FAQ。
Akila Srinivasan、Travis Rhodes
MSRC
报告注意事项
参与微软赏金计划时,所有漏洞报告必须按照此指南直接提交至美国secure@microsoft.com。如果英语报告困难,可以同时使用日语。这在赏金获奖者选择中对于公平性至关重要。我们期待您的参与!
相关信息
- 关于微软赏金计划:Microsoft Bounty Programs(英文信息)
- 本次更新目标计划:Online Services Bug Bounty使用条款
- 漏洞报告窗口“请提供漏洞信息”:如果不参与赏金计划且希望用日语报告漏洞,请从此处提交。