微软推出计划

微软推出了另一个Bug赏金计划,并敦促安全研究人员浏览Azure DevOps的安全性,它是在代码开发上协作的云服务。

Azure Devops Bug Bounty

关于程序

这个新Bug Bounty计划的范围内的服务和产品是:

  • Azure Devops Services(以前的Visual Studio团队服务)
  • Azure Devops Server和Team Foundation Server的最新公开版本。

研究人员可以获得500美元至20,000美元的成功提交–最终金额取决于他们的质量和复杂性以及发现漏洞(或漏洞)的安全影响。

在范围内漏洞包括XSS和CSRF错误,跨租户数据篡改或访问,不安全的直接对象引用,不安全的反对,注射漏洞,服务器端代码执行漏洞,使用具有已知组件的组件,具有显着的安全性错误配置(不是由用户引起的)漏洞,以及未经授权的跨租户数据篡改或访问。

研究人员需要’T CONNICK拒绝拒绝服务错误,并禁止执行DOS测试或自动化服务测试。通常在这些方案中,对员工的网络钓鱼或社会工程攻击是禁止的。

他们也赢了’T基于用户配置或操作,基于第三方的漏洞(例如,在Azure提供的第三方扩展或软件中)进行报酬,或服务器端信息披露错误,cookie重放漏洞,或用户/租户枚举漏洞。

“安全一直是我的激情,我认为这个计划是我们现有的安全框架的自然补充,” 著名的 Azure Devops工程总监Buck Hodges。

“我们将继续聘请谨慎的代码审查并检查我们基础架构的安全性。我们仍然会运行安全扫描和监控工具。我们将定期保留一支红色团队,以攻击我们自己的系统以识别缺点。”

有关该程序的更多信息可以找到 这里 。有关Microsoft的更多信息’其他错误赏金计划去 这里 .

分享这个