Programem typu bug bounty może poszczycić się niemal każdy zarówno wielki, jak i mniejszy producent oprogramowania. Pozwala to hakerom z 'ciemnej strony mocy' wykorzystać swoje zdolności po 'jasnej stronie' - firmy oferują wynagrodzenie i sławę za znalezione luki bezpieczeństwa. Microsoft udostępnił nową listę typów zagrożeń i usług online, objętych programem.
W nowym programie tropienia błędów Microsoft wyszczególnił następujące typy exploitów:
- Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
- Nieupoważniony dostęp do danych dla usług z wieloma użytkownikami
- Niezabezpieczone odniesienia do obiektów
- Podatność na wstrzyknięcie kodu
- Podatności związane z uwierzytelnianiem
- Wykonanie kodu po stronie serwera
- Eskalacja uprawnień
- Znaczące nieprawidłowości w konfiguracji bezpieczeństwa
Powyższych usterek można szukać w następujących usługach:
- portal.office.com
- *.outlook.com (usługi pocztowe Office 365 dla Firm, z wyłączeniem konsumenckich usług)
- outlook.office365.com
- login.microsoftonline.com
- *.sharepoint.com - z wyłączeniem danych, tworzonych przez użytkownika
- *.lync.com
- *.officeapps.live.com
- www.yammer.com
- api.yammer.com
- adminwebservice.microsoftonline.com
- provisioningapi.microsoftonline.com
- graph.windows.net
Program objęty został szeregiem innych zasad i zastrzeżeń. Warunki uczestnictwa zostały podane na specjalnie przygotowanej liście. Minimalne wynagrodzenie za znalezioną usterkę wynosi 500 dolarów (niecałe 1650 zł). Microsoft od lat oferuje możliwość tropienia luk bezpieczeństwa, jednak dotychczas program zawężany był do pojedynczych usług, jak Windows, Office czy Internet Explorer. Tym razem oferta jest dużo szersza, co z jednej strony powinno zachęcić hakerów, z drugiej zaś zapewni firmie korzyści, płynące z outsourcingu.
341f31d.png)