微軟公布Microsoft Teams抓漏獎勵專案，最高獎金3萬美元

微軟本周揭露了全新的應用程式抓漏專案（Applications Bounty Program），準備針對微軟的各種應用程式祭出抓漏獎勵，獎金從500美元到3萬美元不等，第一個上線的是Microsoft Teams。

雖然Teams具備支援Windows、macOS與Linux的桌機版，也提供支援Android及iOS的行動版，但本周微軟揭露的抓漏專案僅適用於桌機版，至於Teams Online線上版的漏洞，則被隸屬於線上服務抓漏專案（Online Services Bounty Program）。

Teams抓漏方案主要分為高影響力的情境獎勵（Scenario Awards）與一般獎勵（General Awards），情境獎勵的獎金從6千美元到3萬美元不等，漏洞範圍包括：發現XSS或其它的程式注入途徑，而得以執行任意腳本程式（需或不需要使用者互動）、可穿越作業系統使用者邊界的權限擴張漏洞、非利用網釣而能取得其他使用者憑證的漏洞，以及不需使用者互動就能執行遠端程式攻擊。

至於一般獎勵則涵蓋竄改、欺騙、資訊揭露、權限擴張到遠端程式攻擊等漏洞，獎勵金額則視漏洞嚴重程度，從500美元到1.5萬美元不等。

微軟表示，上述為既定的獎金標準，但該公司也可根據漏洞的嚴重性、影響力，甚至是研究人員所提交的研究品質，授予更高的獎金。