Microsoft | Bug Bounty Program
Todos los envíos de vulnerabilidades forman parte del Programa de reconocimiento de investigadores y se muestran en la tabla de clasificación, incluso si no califican para la recompensa.
Cada vulnerabilidad válida notificada al Centro de respuesta de seguridad de Microsoft recibe puntos en función de la gravedad y el impacto de la vulnerabilidad.
Los informes enviados a través de Zero Day Initiative e iDefense también son elegibles para obtener puntos.
Según la suma total de puntos, puede ser reconocido en la tabla de clasificación pública, en la lista anual de Investigadores de seguridad de MSRC (Microsoft Security Response Center) más valiosos e invitado a participar en eventos y programas exclusivos.
¿Cómo gano puntos?
Los puntos base están determinados por el impacto de la gravedad y la seguridad de la vulnerabilidad que envía.
CRÍTICO |
ALTO |
MODERADO |
BAJO |
OTRO |
|
|---|---|---|---|---|---|
EJECUCIÓN DE CÓDIGO REMOTO |
60 60 |
40 |
N / A |
N / A |
N / A |
ELEVACIÓN DEL PRIVILEGIOS |
40 |
20 |
N / A |
N / A |
N / A |
DIVULGACIÓN DE INFORMACIÓN |
30 * |
15 |
N / A |
N / A |
N / A |
SPOOFING |
20 |
15 |
N / A |
N / A |
N / A |
BYPASS DE FUNCIÓN DE SEGURIDAD |
N / A |
10 |
N / A |
N / A |
N / A |
TAMPERING |
N / A |
10 |
N / A |
N / A |
N / A |
DENEGACIÓN DE SERVICIO |
N / A |
5-20 ** |
N / A |
N / A |
N / A |
REPUDIO |
N / A |
5 5 |
N / A |
N / A |
N / A |
BYPASS DE MITIGACIÓN *** |
N / A |
N / A |
N / A |
N / A |
60 60 |
El Centro de respuesta de seguridad de Microsoft actualmente no atiende vulnerabilidades en GitHub o LinkedIn. Para informar un problema, vaya al programa Bug Bounty de GitHub y al programa Bug Bounty de LinkedIn
Recompensas por vulnerabilidades de seguridad
Los programas de recompensas de errores están divididos por área tecnológicas:Programas en la nube
Nombre del programa |
Fecha de inicio |
Última actualización |
Fecha final |
Entradas elegibles |
Rango de recompensa |
|---|---|---|---|---|---|
23/09/2014 |
05/08/2019 |
Vigente |
Informes de vulnerabilidad en los servicios en la nube de Microsoft Azure |
Hasta $300,000 |
|
| Microsoft Identity | 17/07/2018 | 23/10/2019 |
Vigente | Informes de vulnerabilidad en los servicios de Identity, incluida Microsoft Account, Azure Active Directory o ciertos estándares de OpenID. | Hasta $100,000 |
23/09/2014 |
05/08/2019 |
Vigente |
Informes de vulnerabilidad en los servicios en la nube de Microsoft |
Hasta $20,000 |
|
| 17/01/2019 | 17/01/2019 |
Vigente | Informes de vulnerabilidad en Microsoft Azure DevOps Services | Hasta $20,000 | |
17/07/2019 |
29/07/2019 |
Vigente |
Informes de vulnerabilidad en las aplicaciones de Microsoft Dynamics 365 |
Hasta $20,000 |
|
| Microsoft .NET Core y ASP.NET Core | 01/09/2016 |
16/10/2018 |
Vigente | Informes de vulnerabilidad en .NET Core y ASP.NET Core RTM y futuras compilaciones | Hasta $15,000 |
Programas de Plataformas
Nombre del programa |
Fecha de inicio |
Última actualización |
Fecha final |
Entradas elegibles |
Rango de recompensa |
|---|---|---|---|---|---|
31/05/2017 |
15/03/2019 |
Vigente |
Informes de vulnerabilidad crítica de ejecución de código remoto, divulgación de información y denegación de servicio en Hyper-V |
Hasta $250,000 |
|
| Microsoft Windows Insider Preview | 26/07/2017 | 17/01/2019 |
Vigente | Informes de vulnerabilidad crítica y alta en Windows Insider Preview. | Hasta $30,000 |
20/08/2019 |
20/08/2019 |
Vigente |
Informes de vulnerabilidad crítica o alta en Microsoft Edge (basado en Chromium) Dev y canal Beta |
Hasta $30,000 |
|
| 04/08/2016 | 08/04/2019 |
Vigente | Informes de vulnerabilidad crítica de ejecución de código remoto y problemas de diseño en Microsoft Edge (EdgeHTML) en Windows Insider Preview Slow | Hasta $15,000 | |
15/03/2017 |
07/12/2018 |
Vigente |
Informes de vulnerabilidad aplicables a Office Insider |
Hasta $15,000 |
|
| ElectionGuard | 18/10/2019 |
18/10/2019 |
Vigente | Informes de vulnerabilidad en ElectionGuard | Hasta $15,000 |
Programas de Defensa
Nombre del programa |
Fecha de inicio |
Última actualización |
Fecha final |
Entradas elegibles |
Rango de recompensa |
|---|---|---|---|---|---|
26/06/2013 |
02/10/2018 |
Vigente |
Nuevas técnicas de explotación contra las protecciones integradas en la última versión del sistema operativo Windows. |
Hasta $100,000 (más un plus de $100,000) |
Entradas
No hay comentarios