圖片來源: 

微軟

微軟本周揭露了全新的應用程式抓漏專案(Applications Bounty Program),準備針對微軟的各種應用程式祭出抓漏獎勵,獎金從500美元到3萬美元不等,第一個上線的是Microsoft Teams。

雖然Teams具備支援Windows、macOS與Linux的桌機版,也提供支援Android及iOS的行動版,但本周微軟揭露的抓漏專案僅適用於桌機版,至於Teams Online線上版的漏洞,則被隸屬於線上服務抓漏專案(Online Services Bounty Program)。

Teams抓漏方案主要分為高影響力的情境獎勵(Scenario Awards)與一般獎勵(General Awards),情境獎勵的獎金從6千美元到3萬美元不等,漏洞範圍包括:發現XSS或其它的程式注入途徑,而得以執行任意腳本程式(需或不需要使用者互動)、可穿越作業系統使用者邊界的權限擴張漏洞、非利用網釣而能取得其他使用者憑證的漏洞,以及不需使用者互動就能執行遠端程式攻擊。

至於一般獎勵則涵蓋竄改、欺騙、資訊揭露、權限擴張到遠端程式攻擊等漏洞,獎勵金額則視漏洞嚴重程度,從500美元到1.5萬美元不等。

微軟表示,上述為既定的獎金標準,但該公司也可根據漏洞的嚴重性、影響力,甚至是研究人員所提交的研究品質,授予更高的獎金。


熱門新聞

Advertisement