创建新的基于场景的奖励是为了吸引研究人员投入更多精力来寻找“对客户隐私和安全具有最大潜在影响的漏洞”。
Microsoft Bounty Program 将新奖项置于当前针对安全漏洞的一般奖项之上。新的基于场景的奖励总共提供高达 26,000 美元的赏金奖励。
基于场景的奖励
在宣布新条件的博客文章中,微软提供了以下奖励细分:
“ Dynamics 365 和 Power Platform 赏金计划
| 设想 | 最高奖 |
| 跨租户信息披露 | $20,000 |
M365 赏金计划
符合条件的提交可能有资格在一般 M365 赏金奖励的基础上获得 15-30% 的奖金,并将获得单一的最高合格奖励。
| 设想 | 最高奖 |
| 通过不受信任的输入执行远程代码(CWE-94 “代码生成控制不当(’代码注入’)”) | +30% |
| 通过不受信任的输入执行远程代码(CWE-502 “不受信任数据的反序列化”) | +30% |
| 未经授权的跨租户和跨身份的敏感数据泄露(CWE-200 “向未经授权的参与者暴露敏感信息”) | +20% |
| 未经授权的跨身份敏感数据泄露(CWE-488 “数据元素暴露给错误的会话”) | +20% |
| “混淆代理”漏洞,可用于以绕过身份验证的方式访问资源的实际攻击(CWE-918 “服务器端请求伪造(SSRF)”) | +15% |
正文完
