terça-feira, 23 de setembro de 2014

Microsoft cria recompensas de bugs para serviços on-line


Top 5 razões para implantar VMware com Tegile


Tendo provado o fruto da árvore do conhecimento do público, a Microsoft decidiu que gosta, e está expandindo seu programa de recompensas bug para cobrir uma ampla gama de serviços on-line.


Neste cargo no Technet, Redmond lista um monte de domínios que são elegíveis para a recompensa bug expandido, incluindo on-line Outlook, Office365, SharePoint, Windows.net, Microsoftoneline.com e serviços Yammer.







Cross-site scripting (XSS), cross-site request forgery (CSRF), os dados de cross-inquilino adulteração, referências diretas a objetos inseguros, falhas na injeção, falhas de autenticação, a execução de código do lado do servidor, escalação de privilégios, e configuração de segurança serão todos elegíveis para generosidades, os pós estados.


Não, no entanto, sequer pensar em testar os serviços de denial-of-service: é proibido, juntamente com a geração de tráfego pesado, o acesso de qualquer outra pessoa de dados, testar a sua execução no lado do servidor além do estágio de prova de conceito, ou disparo ataques de phishing contra funcionários da Microsoft.


Há também uma lista bastante extensa de trabalhos, que não serão elegíveis para a recompensa. Estes incluem:




  • Faltando HTTP Segurança cabeçalhos (como X-FRAME-OPÇÕES) ou bandeiras de segurança do bolinho (como "httponly");

  • Divulgação de informações do lado do servidor, como IPs, nomes de servidores ea maioria dos rastreamentos de pilha;

  • Bugs no aplicativo da web que só afetam navegadores não suportados e plugins;

  • Erros utilizados para a enumeração ou confirmar a existência de usuários ou inquilinos;

  • Erros que requerem ações de usuários improvável;

  • Redirecionamentos de URL (a menos que combinado com outra falha para produzir uma vulnerabilidade mais grave);

  • Vulnerabilidades em tecnologias de plataforma que não são exclusivos para os serviços on-line em questão (Apache ou IIS vulnerabilidades, por exemplo.);

  • bugs "Cruz site scripting" no SharePoint que exigem "Designer" ou privilégios superiores em inquilino do alvo;

  • Baixa erros impacto CSRF (como logoff);

  • Problemas de negação de serviço; e

  • Vulnerabilidades de repetição de cookie.



Microsoft primeiro mergulhou seu dedo do pé nas águas de insetos recompensa em 2013, oferecendo US $ 100.000 durante a conferência Black Hat do ano passado, em julho de deixar hackers stress test Windows 8 e IE 11.


O novo programa de recompensas bug começa um pouco mais modesta, com o conjunto de pagamento mínimo de US $ 500. ®



Postado por às
Marcadores: , , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)