Redmondo milžinas labai domisi nuotoliniu kodo vykdymu ir privilegijų eskalavimo trūkumais.
Microsoft pradėjo naują „Azure DevOps“ debesies paslaugai skirtą klaidų programą, kurios atlygis siekia iki 20 000 USD susidomėjusiems tyrinėtojams.
Ketvirtadienį „Microsoft“ atskleidė klaidų atlyginimo schema dabar atvira tyrėjams, norintiems padėti pagerinti „Azure DevOps“ – debesies pagrindu veikiančios platformos, naudojamos bendradarbiavimo kodo kūrimo tikslais – saugumą.
Saugumas
- 8 labai saugių nuotolinių darbuotojų įpročiai
- Kaip rasti ir pašalinti šnipinėjimo programas iš savo telefono
- Geriausios VPN paslaugos: kaip palyginti 5 geriausius?
- Kaip sužinoti, ar esate susijęs su duomenų pažeidimu – ir ką daryti toliau
Azure DevOps Kūrėjai visame pasaulyje naudoja su kodu susijusius projektus ir apima bandomuosius vamzdynus, privačią „Git“ repo prieigą, paketų ir artefaktų kūrimą ir testavimo įrankius.
Taip pat žiūrėkite: „Windows 10 19H1“: „Microsoft“ teikia savo paslaugas ragindama „Padaryti Windows dar geresnę“.
Pasak Jareko Stanley, „Microsoft“ saugumo reagavimo centro (MSRC) vyresniojo programų vadovo, naujoji programa yra „skirta užtikrinti tvirtą saugumą mūsų „DevOps“ klientams.
Bug Bounty apdovanojimai svyruoja nuo 500 USD iki 20 000 USD. Rimčiausios klaidos, sukeliančios nuotolinį kodo vykdymą (RCE), gali gauti maksimalų apdovanojimą, bet priklausomai nuo sunkumo – vertinama kaip „didelė“, „vidutinė“ ir „maža“ – išmokos priskiriamos 10 000 USD, 15 000 USD arba $20,000.
Be RCE pažeidžiamumų, „Microsoft“ taip pat apdovanoja tyrėjus už pranešimus apie klaidas, susijusias su privilegijų eskalavimu, informacijos atskleidimu, klastojimu ir sistemos klastojimu.
CNET: „Apple“ Timas Cookas ragina priimti naujas taisykles, skirtas apsaugoti jūsų asmeninius duomenis
Kelių svetainių scenarijų (XSS) trūkumai, kelių svetainių užklausų klastojimas (CSRF), kelių nuomininkų duomenų klastojimas ir prieiga, nesaugios tiesioginės objektų nuorodos, nesaugus serializavimas, injekcinės klaidos, serverio pusės kodo vykdymas ir bet kokios „reikšmingos“ klaidingos saugos konfigūracijos, kurias atskleidė klaidų medžiotojai, yra priimtinos pagal sutarties sąlygas. programa,
Tačiau buvo nuspręsta, kad atsisakymo teikti paslaugas klaidos nepatenka į taikymo sritį ir už jas nebus atlyginta.
Visas išmokėjimų sąrašas pateikiamas žemiau:
Tyrėjai turi pateikti įrašą arba vaizdo įrašą, kuriame dokumentuojami jų rezultatai, aprašas pažeidžiamumą ir koncepcijos įrodymo (PoC) kodą, kuris leis inžinieriams pakartoti klaidą ir galimų išpuolių.
„Microsoft“ nėra vienintelis didelis technologijų pardavėjas, nusprendęs išplėsti savo klaidų programas. Praėjusių metų vasarį „Intel“ atvėrė savo programą visuomenei ir jai skyrė atlygį iki 250 000 USD didelio sunkumo trūkumams su ypač dominančiais šoninių kanalų pažeidžiamumu.
TechRepublic: Kaip prisijungti prie VNC naudojant SSH
Tada „Google“ pasirinko išplėsti savo klaidų programą rugpjūčio mėn. įtraukti išorės atakų metodus ir vektorius, kuriais grėsmės veikėjai galėtų apeiti apsaugos nuo piktnaudžiavimo ir sukčiavimo sistemas.
„Facebook“ dabar apdovanojimai iki 40 000 USD už paskyros perėmimo pažeidžiamumą ir taip pat apdovanos medžiotojus už pranešimus apie vartotojo prieigos rakto parodymas problemų.
The Europos Sąjunga taip pat neseniai įsitraukė į klaidų atlyginimo pramonę, pažadėdamas finansuoti atvirojo kodo projektų, įskaitant KeePass, 7-zip, VLC Media Player, Drupal ir FileZilla, programas.
Tai yra blogiausi įsilaužimai, kibernetinės atakos ir duomenų pažeidimai 2018 m.
Ankstesnė ir susijusi informacija
-
„Microsoft“ žada 500 mln. USD, kad ištaisytų būsto įperkamumo krizę Sietle.
-
„Microsoft“ ir „Verizon Media“ pratęsė „Bing Ads“ ir „Yahoo“ sandorį
-
„Intel“ klaidų programa plečiasi su daugiau naudos