Kaynak: Obsidyen Eğlence

Microsoft, ödül almaya hak kazananlar listesine ek ürünler eklemek için çok uzun zaman önce hata ödül programını güncelledi. Ve şimdi şirket, programından ne bekleyebileceğinizi daha doğru bir şekilde ifade etmek için şartlarını değiştirmeye geri döndü.

En fazla hata parasını elde etmek için, aşağıdaki yüksek etkili senaryolara rastlamanız gerekecek:

  • Güvenilmeyen giriş yoluyla uzaktan kod yürütme (CWE-94 “Kod Oluşturmanın Uygunsuz Kontrolü (‘Kod Enjeksiyonu’)”) (+%30 maksimum ödül)
  • Güvenilmeyen giriş yoluyla uzaktan kod yürütme (CWE-502 “Güvenilmeyen Verilerin Seri Halinden Çıkarılması”) (+%30 maksimum ödül)
  • Yetkisiz Çapraz kiracı ve kimlikler arası hassas veri1 sızıntısı (CWE-200 “Hassas Bilgilerin Yetkisiz Bir Aktöre Maruz Kalması”) (+%20 maksimum ödül)
  • Yetkisiz kimlikler arası hassas veri sızıntısı (CWE-488 “Veri Öğesinin Yanlış Oturuma Açılması”) (+%20 maksimum ödül)
  • Kimlik doğrulamasını atlayacak şekilde kaynaklara erişen pratik bir saldırıda kullanılabilecek “Şaşkın yardımcı” güvenlik açıkları (CWE-918 “Sunucu Tarafı İstek Sahteciliği (SSRF)”) (+%15 maksimum ödül)

Microsoft’un sayfasında, Redmond’un nakit ödemeye istekli olduğu mevcut ürün ve hizmetlerin derinlemesine bir dökümünün bulunduğu, hata ödül değişikliklerinin tam özetini görebilirsiniz. Yalnızca “orta” veya “düşük” tehditler olarak kabul edilirlerse, birçok hatanın size toplamda sıfır para getireceğini unutmayın; bu nedenle, bildirdiğiniz hataların Microsoft’tan uygun bir ödül alacak kadar büyük ve sulu olduğundan emin olun. . Ve şirkete kızmak için kasıtlı girişimlerle milyonlar kazanan suçluları unutun.

Microsoft’un düşmanları tarafından istismar edilecek en son güvenlik açıklarıyla ilgili haberler için Tarrask kötü amaçlı yazılımına göz atın.

Bağlantılarımızı kullanarak satın alımlar için bir komisyon kazanabiliriz. Daha fazla bilgi edin.



genel-20