时间:2021-03-31 来源:win10官网 游览量: 次
微软再次启动团队漏洞赏金计划
Microsoft已为其Teams通信平台启动了赏金计划。由于Covid-19的限制,如今人们比以往任何时候都可以远程工作,因此越来越需要强大的安全协议来保护诸如Teams之类的业务通信应用程序。当然,来自世界各地的安全研究人员的积极参与对实现这一目标至关重要。
微软团队赏金计划将使白帽黑客获得6,000美元至30,000美元之间的高影响力漏洞。发现与跨站点脚本(XSS)相关的安全问题的安全研究人员有资格获得6,000美元起的奖励。Microsoft强调,这种性质的漏洞利用仅应在teams.live.com或teams.microsoft.com的上下文中。还应该包括最少的用户交互。另一方面,允许XSS代码在没有用户交互的情况下任意执行的安全漏洞将获得10,000美元的最低收益。
在团队赏金计划中,列表中的第三项是获取用户的身份验证凭据。为了获得奖励的资格,赏金猎人应表现出能够在不依赖网络钓鱼攻击的情况下窃取用户身份验证令牌的能力。奖励最低为15,000美元。列表中最高的是对漏洞的识别,该漏洞允许在当前客户端的上下文中远程执行代码,而无需用户交互。为此,该公司将支付至少30,000美元的奖励。
也就是说,在“高影响力计划”之外发现的漏洞有资格获得最低500美元的报酬,但这由公司自行决定。
参加要求
要参加Microsoft Teams奖励计划,要求候选人在其自己的Teams订阅帐户上进行测试。此外,报告的错误还必须在最新的修补程序版本的Linux,Windows或macOS上安装的最新Microsoft Teams桌面客户端版本上可复制。
最后,Microsoft希望明确利用代码的指示,并通过文本或视频进行中继。简而言之,提交的准则应允许公司的安全团队迅速复制方案并确定可利用性。
最近的骇客
Microsoft团队赏金计划是在公司正面临来自快速增长的团体沟通和协作平台(例如Slack和Zoom)的激烈竞争时提出的。随着最近的Microsoft Exchange攻击激起了依赖其软件的个人客户和企业,这家科技巨头正在寻求通过加强应用程序安全性来缓解用户的困扰。
在过去一年中,Teams应用程序实现了巨大的增长,增加了9000万用户。它也是这家位于雷德蒙德(Redmond)的科技公司的主要收入来源。到2020年,其收入达到68亿美元,与上一年相比惊人地增长了700%。如今,全球有超过500,000个组织使用该应用程序。