Η Microsoft ανακοίνωσε σήμερα το Microsoft Online Services Bug Bounty Program, που προσφέρει σε ερευνητές ασφαλείας ανταμοιβές για να υποβάλλουν τρωτά σημεία στις διάφορες on-line Υπηρεσίες που παρέχονται από τη Microsoft. Η εταιρεία πριμοδοτεί την ανεύρεση και υποβολή τρωτών σημείων με ένα ελάχιστο ποσό 500 δολαρίων που ανεβαίνει ανάλογα με τις επιπτώσεις της ευπάθειας.
Η εταιρεία αναφέρει ότι στα τρωτά σημεία συμπεριλαμβάνονται:
Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), unauthorized cross-tenant data tampering or access (for multi-tenant services), insecure direct object references, injection flaws, authentication flaws, server-side code execution, privilege escalation και significant security misconfiguration.
Τα domains που μπορούν να διεξαχθούν οι δοκιμές είναι
portal.office.com
* .outlook.com (Office 365 για τις εφαρμογές υπηρεσιών ηλεκτρονικού ταχυδρομείου των επιχειρήσεων, αποκλείοντας κάθε καταναλωτή “outlook.com” υπηρεσίες)
outlook.office365.com
login.microsoftonline.com
* .sharepoint.com
* .lync.com
* .officeapps.live.com
www.yammer.com
api.yammer.com
adminwebservice.microsoftonline.com
provisioningapi.microsoftonline.com
graph.windows.net
Η εταιρεία παρέχει επίσης μια λίστα από τρωτά σημεία που δεν θα πριμοδοτηθούν:
- Missing HTTP Security Headers (such as X-FRAME-OPTIONS) or cookie security flags (such as “httponly”).
- Server-side information disclosure such as IPs, server names and most stack traces.
- Bugs in the web application that only affect unsupported browsers and plugins.
- Bugs used to enumerate or confirm the existence of users or tenants.
- Bugs requiring unlikely user actions.
- URL Redirects (unless combined with another flaw to produce a more severe vulnerability).
- Vulnerabilities in platform technologies that are not unique to the online services in question (Apache or IIS vulnerabilities, for example).
- ”Cross Site Scripting” bugs in SharePoint that require “Designer” or higher privileges in the target‘s tenant.
- Low impact CSRF bugs (such as logoff).
- Denial of Service issues.
- Cookie replay vulnerabilities.
Μπορείτε να αναφέρετε τα τρωτά σημεία στα προϊόντα και τις υπηρεσίες της Microsoft στη διεύθυνση [email protected].