微软奖金计划拓展 - 防御奖金计划、身份验证的额外奖金和 RemoteApp
我很高兴我们即将发布微软奖金计划的更多拓展计划。请于 8 月 5 日至 6 日来黑帽大会(Black Hat)的微软网络休息区稍作停留,了解有关这些计划的更多信息;或者访问 https://aka.ms/BugBounty。我们将把防御奖金计划的上限从 50,000 美元提高到 100,000 美元。另外,我很高兴地宣布,我们将在在线服务漏洞奖金计划中为身份验证漏洞启动一个额外的奖金周期。在 8 月 5 日至 6 日召开的拉斯维加斯黑帽大会上,我们将就这项工作举办一次现场竞赛。最后,我们还会将 RemoteApp 添加到在线服务漏洞奖金计划所覆盖的范围中。
我们根据从安全研究社区获得的反馈及其带来的机会不断改进微软奖金计划,防御奖金计划的变化正是我们所做努力的体现。
将防御奖金计划金额从 50,000 美元提高到 100,000 美元
将防御提高到与进攻同等的水平
为新加入的防御者所进行的研究提供同等奖励
针对在线服务漏洞奖金计划,这项持续改进包含了一系列全新措施:
身份验证漏洞将收到双倍奖金
Microsoft Account (MSA) 和 Azure Active Directory (AAD) 漏洞
奖金周期为 2015 年 8 月 5 日至 2015 年 10 月 5 日
在此期间的所有支付金额将是常规支付金额的两倍(这意味着我们将针对重大身份验证漏洞支付 30,000 美元!)
在黑帽大会上举办 MSA 竞赛
前来展示您的 1337 种技能,赢取 Xbox One、Surface 3 或 MSDN 一年完全访问权限
8 月 5 日至 6 日前往曼德勒海湾度假村的微软网络休息区查看完整规则并参加竞赛
-
RemoteApp 可让用户随时随地在各种设备上运行托管在 Azure 中的 Windows 应用程序
RemoteApp 将作为一个新的属性添加到在线服务漏洞奖金计划中,所有常规条款和支付规则均适用
微软奖金计划的这些新增内容将成为微软严密安全计划的一部分。奖金计划将与安全开发生命周期 (SDL)、运行安全保证 (OSA) 框架、我们产品和服务的定期渗透测试以及由第三方审核的安全和合规认证一同实施。
很高兴看到研究社区对 Microsoft Edge 漏洞奖金计划以及在在线服务漏洞奖金计划中新增 Azure 的良好反应。我希望看到这些新增内容引发同样的热情!
您始终可以在 https://aka.ms/BugBounty 上以及相关条款和常见问题中找到有关微软奖金计划的最新信息。
谢谢!
Jason Shirk