微软公布Microsoft Teams抓漏奖励专案,最高奖金3万美元

A
Al8899
楼主 (未名空间)

微软新的应用程式抓漏专案(Applications Bounty Program)首先针对协作平台Teams,祭出漏洞通报奖励说明

微软本周揭露了全新的应用程式抓漏专案(Applications Bounty Program),准备针
对微软的各种应用程式祭出抓漏奖励,奖金从500美元到3万美元不等,第一个上线的是Microsoft Teams。

虽然Teams具备支援Windows、macOS与Linux的桌机版,也提供支援Android及iOS的行动版,但本周微软揭露的抓漏专案仅适用于桌机版,至于Teams Online线上版的漏洞,则被隶属于线上服务抓漏专案(Online Services Bounty Program)。

Teams抓漏方案主要分为高影响力的情境奖励(Scenario Awards)与一般奖励(
General Awards),情境奖励的奖金从6千美元到3万美元不等,漏洞范围包括∶发现
XSS或其它的程式注入途径,而得以执行任意脚本程式(需或不需要使用者互动)、可
穿越作业系统使用者边界的权限扩张漏洞、非利用网钓而能取得其他使用者凭证的漏洞,以及不需使用者互动就能执行远端程式攻击。

至于一般奖励则涵鄞咩鵅B欺骗、资讯揭露、权限扩张到远端程式攻击等漏洞,奖励金
额则视漏洞严重程度,从500美元到1.5万美元不等。

微软表示,上述为既定的奖金标准,但该公司也可根据漏洞的严重性、影响力,甚至是研究人员所提交的研究品质,授予更高的奖金。