首先,我要更正一下上周关于英特尔降价的博客文章。结果是,我被告知英特尔并没有降价,而Micro Center则是在亏损的情况下降价,这是它经常做的事情。它不会改变廉价的价格,只是动机。所以,我想澄清一下。
向前。微软正在寻找一些好的bug。还有那些会保持沉默的人。
好吧,我没有直接因果关系的证据,但这似乎很方便。过去几周,谷歌两次让微软难堪,它公开披露了Windows 10的安全漏洞,这些漏洞在90天后仍未修复。谷歌对其“零日披露”毫不留情,也不偏袒任何公司。任何未在谷歌通知后90天内修复漏洞的公司将被晾在外面晾干。
所以,这似乎是可疑的微软的漏洞奖励翻了一番如果研究人员在微软的某些服务中发现一个严重的漏洞,支付上限为3万美元。赏金期限为2017年3月1日至5月31日。
当然,找到bug并不是问题所在。谷歌一直在找它们。问题是让微软来解决这些问题。但那是另一回事了。
控制bug过程
让研究人员发现漏洞,并由微软付费,这将使微软在这个过程中有更多的控制权,而不是让谷歌强迫他们。据推测,微软会把这个研究人员关在门外,这样他们就不会向整个互联网泄露他们的发现。
微软正在为以下领域的服务提供奖励:
portal.office.com
outlook.office365.com
outlook.office.com
* .outlook.com
outlook.com
总列表包括18个领域和37个合格的端点涵盖的标准bug奖金。
微软希望研究人员寻找9种不同类型的漏洞,包括:
- 跨站点脚本(XSS)
- 跨站点请求伪造(CSRF)
- 未经授权的跨租户数据篡改或访问(适用于多租户服务)
- 不安全的直接对象引用
- 注入漏洞
- 身份验证漏洞
- 服务器端代码的执行
- 特权升级
- 重大的安全错误配置(不是由用户造成的)
当然,漏洞搜索者总是可以把他们在暗网上的发现卖给专门制作恶意软件的犯罪组织,以赚取更多的钱。这也是非常违法的。