查找一个Office 365漏洞。得到报酬。为了反映工作场所从打包软件到云计算的持续转变,Microsoft启动了一个新的Online Services Bug Bounty计划,该计划向安全研究人员发现公司Web应用程序中的漏洞提供现金奖励。首先是Office 365。
Office 365的高级安全主管Travis Rhodes在宣布该程序启动时说,该计划使Microsoft可以“奖励和认可安全研究人员,为他们向我们报告的合格安全漏洞提供赏金。”
在概述该计划条款的在线支持文档中,Microsoft指出“全球各地的个人都有机会获得针对Microsoft提供的参与的在线服务的已提交漏洞的赏金。” 合格的论文至少要支付$ 500。该公司补充说:“微软将根据漏洞的影响来酌情发放赏金。”
微软迟迟未开展漏洞赏金运动,去年才开始支付有关软件漏洞的信息。2013年6月,该公司启动了一些程序,这些程序为Windows 8.1中的漏洞支付了100,000美元,为影响Internet Explorer的漏洞支付了高达11,000美元的程序。
凯蒂·穆苏里斯(Katie Moussouris)表示:“我们正在寻找绕过缓解措施的新方法。我们想了解这些新方法,以在盾牌上打孔,以便我们开发能够在整个平台范围内发挥作用并阻止此类攻击的防御措施。”微软可信赖计算部门的高级安全策略主管当时告诉eWEEK。
Rhodes在他的Office Blogs帖子中打出了类似的语调。他说:“我们努力开发安全软件并保护我们的服务免遭破坏,但我们认识到安全性是一个旅程,而不是目的地,我们一直在寻找加快行动的方法。” 这项赏金计划是我们启用并认识到可以帮助我们使Office 365变得更加安全的强大社区的另一种方式。”
此外,客户要求它。Rhodes说:“现在存在一个“框架,该框架可让希望参与的任何人对Office 365服务进行有针对性的安全漏洞评估”。“有了这些规则,您现在就可以验证服务的安全性,并且如果您发现问题并符合资格要求,Microsoft将为您的出色表现提供补偿。”
合格的提交内容包括跨站点脚本(XSS),跨站点请求伪造(CSRF),注入漏洞和服务器端代码执行等。拒绝服务问题,缺少HTTP安全标头和URL重定向就是无效提交的示例。微软断言:“漏洞赏金的目的是发现对我们用户和用户数据的安全有直接和明显影响的重大漏洞。”
新的错误寻找程序目前仅覆盖选定的域,例如portal.office.com和api.yammer.com。该软件巨头建议安全研究人员“在测试之前检查所有已解析IP的WHOIS域查找工具,以验证Microsoft的所有权”,并保持有资格获得付款。
