微软启动身份验证赏金猎人计划提供最高10万美元奖金
数字身份验证通常是通过互联网访问企业应用程序和服务的关键,因此数字身份面临的安全问题也尤为重要。
微软目前已经启动新的赏金猎人计划提高数字身份安全性,安全研究人员最高可获得高达十万美元漏洞奖金。
该公司希望研究人员能够帮助提高消费者使用微软在线账号以及企业数字身份验证解决方案等的整体安全性。
如果研究人员在微软对应的服务中发现漏洞可私下向微软披露漏洞,等待漏洞修复后微软将提供对应的奖金。
当然微软本身也在继续提高数字身份验证的安全性,因此想要成功找到潜在的安全漏洞也并不是轻松的事情。
微软赏金猎人计划的要求:
安全研究人员在发现安全漏洞后应该保留相关凭证,然后向微软提交漏洞详情时应该附加描述以及概念验证。
如果特定的漏洞很难重现或者难以理解那么微软可能会降低奖金金额,最终微软需要按照评级再来决定奖金。
至于具体的漏洞类型包括绕过多因素认证即双重认证、跨站点请求伪造以及敏感数据泄露等问题全部都在列。
具体研究人员可以访问以下站点寻找其中的漏洞:
域 | 标准范围 |
login.windows.net | OpenID Connect Core |
login.microsoftonline.com | OpenID Connect Discovery |
login.live.com | OpenID Connect Session |
account.live.com | OAuth 2.0 Multiple Response Types |
account.windowsazure.com | OAuth 2.0 Form Post Response Types |
account.activedirectory.windowsazure.com | |
credential.activedirectory.windowsazure.com | |
portal.office.com | |
passwordreset.microsoftonline.com | |
Microsoft Authenticator |