Microsoft crește sumele de erori pentru serviciile de conectare – Securitate


Microsoft și-a simplificat programul de vânătoare a erorilor, identificând recompense și promițând recenzii mai rapide ale trimiterilor de la cercetători.

Scopul program care a fost creat în decembrie anul trecut înseamnă să îmbunătățească securitatea serviciilor de autentificare Microsoft, iar acum a fost modificat pentru a se potrivi cu inițiativele sale de securitate în cloud.

Rapoartele de vulnerabilitate de înaltă calitate care indică bug-urile de escaladare a privilegiilor cu un grad de severitate a criticilor pot câștiga cercetători până la 100.000 USD, dacă defectul permite bypass-ul de autentificare a factorilor mutli.

Spoofing-ul prin scripturi cross-site (XSS) sau falsificare a cererii (CSRF), scurgeri de informații, proiectare de standarde și vulnerabilități de implementare sunt, de asemenea, în sfera de aplicare a programului.

În toate cazurile, trimiterile trebuie să identifice o vulnerabilitate nereportată anterior, considerată critică sau importantă, una care poate fi reprodusă în cea mai recentă versiune a serviciilor Microsoft Identity care sunt în domeniul de aplicare al programului de recompensare a erorilor.

Vulnerabilitățile trebuie să conducă la conturile Microsoft sau Azure Active Directory, a spus compania.

Microsoft caută bug-uri în standardele OpenID Foundation Connect Family, precum și tipuri multiple de tip OAuth 2.0 și post răspuns.

Opt domenii de conectare Microsoft și aplicația sa Authenticator pentru dispozitivele Apple iOS și Google Android sunt considerate a fi în domeniul de aplicare al programului, iar cercetătorii pot configura conturi de testare pe servicii.

Cu toate acestea, compania a avertizat că conturile se află pe medii de producție în direct și solicită cercetătorilor să evite distrugerea datelor sau întreruperea sau degradarea serviciilor sale online.

Cercetătorii nu trebuie să testeze vulnerabilitățile celorlalți chiriași, în afară de conturile de teste pe care le dețin ei înșiși, iar orice fel de refuz al încercărilor de serviciu sunt interzise, ​​a spus Microsoft.

Atacurile de phishing și de inginerie socială împotriva Microsoft sunt de asemenea interzise



Source link

Lasă un răspuns