Microsoft Online Services Bug Bounty Program

Η Microsoft ανακοίνωσε σήμερα το Microsoft Online Services Bug Bounty Program, που προσφέρει σε ερευνητές ασφαλείας ανταμοιβές για να υποβάλλουν τρωτά σημεία στις διάφορες on-line Υπηρεσίες που παρέχονται από τη Microsoft. Η εταιρεία πριμοδοτεί την ανεύρεση και υποβολή τρωτών σημείων με ένα ελάχιστο ποσό 500 δολαρίων που ανεβαίνει ανάλογα με τις επιπτώσεις της ευπάθειας.

Microsoft Online Services Bug Bounty Program Microsoft Online Services Bug Bounty Program Microsoft Online Services Bug Bounty Program Microsoft Online Services Bug Bounty Program

Η εταιρεία αναφέρει ότι στα τρωτά σημεία συμπεριλαμβάνονται:

Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), unauthorized cross-tenant data tampering or access (for multi-tenant services), insecure direct object references, injection flaws, authentication flaws, server-side code execution, privilege escalation και significant security misconfiguration.

Τα domains που μπορούν να διεξαχθούν οι δοκιμές είναι

portal.office.com
* .outlook.com (Office 365 για τις εφαρμογές υπηρεσιών ηλεκτρονικού ταχυδρομείου των επιχειρήσεων, αποκλείοντας κάθε καταναλωτή “outlook.com” υπηρεσίες)
outlook.office365.com
login.microsoftonline.com
* .sharepoint.com
* .lync.com
* .officeapps.live.com
www.yammer.com
api.yammer.com
adminwebservice.microsoftonline.com
provisioningapi.microsoftonline.com
graph.windows.net

Η εταιρεία παρέχει επίσης μια λίστα από τρωτά σημεία που δεν θα πριμοδοτηθούν:

  • Missing HTTP Security Headers (such as X-FRAME-OPTIONS) or cookie security flags (such as “httponly”).
  • Server-side information disclosure such as IPs, server names and most stack traces.
  • Bugs in the web application that only affect unsupported browsers and plugins.
  • Bugs used to enumerate or confirm the existence of users or tenants.
  • Bugs requiring unlikely user actions.
  • URL Redirects (unless combined with another flaw to produce a more severe vulnerability).
  • Vulnerabilities in platform technologies that are not unique to the online services in question (Apache or IIS vulnerabilities, for example).
  • ”Cross Site Scripting” bugs in SharePoint that require “Designer” or higher privileges in the target’s tenant.
  • Low impact CSRF bugs (such as logoff).
  • Denial of Service issues.
  • Cookie replay vulnerabilities.

Μπορείτε να αναφέρετε τα τρωτά σημεία στα προϊόντα και τις υπηρεσίες της Microsoft στη διεύθυνση secure@microsoft.com.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.096 εγγεγραμμένους.

bountybugsmicrosoftonlineoutlookprogramsecurityservicesyammer

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).