버그/취약점 찾기에 열정이 있다면 이 프로그램이 적합할 수 있습니다.
Microsoft는 Redmond에 본사를 둔 거대 기술 기업에서 Microsoft Defender Bounty Program을 도입했다고 발표했습니다. 최신 보안 블로그 게시물. 새로운 프로그램은 Microsoft 제품 내에서 취약점을 발견한 적격 개인에게 보상을 제공합니다.
Microsoft가 위협 행위자로부터 영구적인 공격을 받고 있으며, 해당 제품이 사이버 공격의 대상이 되는 경우가 많다는 것은 잘 알려져 있습니다.
예를 들어, 올해 초 연구에 따르면 2022년에는 Microsoft 365 계정의 80%가 해킹당했습니다., 그 중 60%가 해킹에 성공했습니다. 더욱 걱정스러운 사실은 또 다른 연구에 따르면 Microsoft Teams는 최신 악성 코드에 취약합니다.
이를 염두에 두고 Microsoft는 새로운 Defender Bounty 프로그램을 통해 심각한 취약점을 찾아낸 모든 사람에게 최대 20,000달러의 보상을 제공할 계획입니다.
Microsoft Defender 장려금 프로그램은 전 세계 연구원을 초대하여 Defender 제품 및 서비스의 취약성을 식별하고 이를 팀과 공유하도록 합니다. Defender 프로그램은 Microsoft Defender for Endpoint API에 초점을 맞춘 제한된 범위로 시작되며 시간이 지남에 따라 Defender 브랜드의 다른 제품을 포함하도록 확장될 것입니다.
마이크로소프트
그러나 가입하기 전에 제출물이 프로그램에 적합한지 확인하는 몇 가지 사항을 포함하여 알아야 할 몇 가지 사항이 있습니다. 모두 공개할테니 따라오세요.
Microsoft Defender 장려금 프로그램: 적격 제출은 무엇인가요?
시작하고 프로그램에 가입하려면 활성 Microsoft Defender for Endpoint 테넌시여야 합니다. 레드먼드에 본사를 둔 이 거대 기술 기업은 3개월 평가판을 기꺼이 제공합니다. 여기.
이를 방해하지 않고 플랫폼의 Microsoft 전용 페이지에는 보상을 받을 수 있는 모든 적격 제출 목록이 포함되어 있습니다. 보상은 발견된 취약점의 심각도에 따라 달라집니다.
제출물이 보상을 받을 수 있도록 하는 모든 사항은 다음과 같습니다.
- 이전에 Microsoft에 보고되지 않았거나 Microsoft에 알려지지 않은 나열된 범위 내 Defender 제품의 취약성을 식별합니다.
- 이러한 취약점은 심각도가 심각 또는 중요여야 하며 완전히 패치된 최신 버전의 제품 또는 서비스에서 재현 가능해야 합니다.
- 서면이나 비디오 형식으로 명확하고 간결하며 재현 가능한 단계를 포함합니다.
- 엔지니어에게 문제를 신속하게 재현, 이해 및 해결하는 데 필요한 정보를 제공하십시오.
또한 Microsoft는 연구자들에게 다음과 같은 추가 정보를 요청할 것입니다.
- MSRC 연구원 포털을 통해 제출하세요.
- 귀하의 보고서가 어떤 영향을 미치는 시나리오(있는 경우)에 해당하는지 취약점 제출에 표시하십시오.
- 취약점에 대한 공격 벡터를 설명합니다.
보상은 취약점의 심각도에 따라 500달러에서 20,000달러까지 다양하지만 아래에서 이에 대한 모든 세부 정보를 볼 수 있습니다.
취약점 유형 | 보고서 품질 | 심각성 | |||
---|---|---|---|---|---|
비판적인 | 중요한 | 보통의 | 낮은 | ||
원격 코드 실행 | 높은 중간 낮은 |
$20,000 $15,000 $10,000 |
$15,000 $10,000 $5,000 |
$0 | $0 |
권한 승격 | 높은 중간 낮은 |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
정보 공개 | 높은 중간 낮은 |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
스푸핑 | 높은 중간 낮은 |
해당 없음 | $3,000 $1,200 $500 |
$0 | $0 |
변조 | 높은 중간 낮은 |
해당 없음 | $3,000 $1,200 $500 |
$0 | $0 |
서비스 거부 | 저 높은 | 범위를 벗어남 |
새로운 프로그램에 관심이 있으시면 다음에서 자세한 내용을 읽어보실 수 있습니다. 전용 페이지, 적격 제출의 성격에 대한 자세한 기술 세부정보를 포함합니다.