Maailmankuulujen yritysten on tapana aloittaa houkutteleva Bug Bounty -ohjelmat . Ne koostuvat palkitsemisesta kaikille ihmisille, jotka onnistuvat havaitsemaan haavoittuvuuksia, joilla on suuri vaikutus heidän tuotteisiinsa tai palveluihinsa. Useimmissa tapauksissa palkinnot koostuvat suurista rahasummista, mikä tekee niistä paljon houkuttelevampia ja haastavampia.
Tässä tapauksessa, Xbox on tämän ohjelman tavoite, joka pyrkii sekä harrastajia että turvallisuuden ammattilaisia toimijoiksi, ja niitä rohkaistaan osallistumaan. Niiden olisi ilmoitettava viimeisimmästä versiosta löytyneet haavoittuvuudet Xbox Live , se koskee sekä palveluita että verkkoa yleensä.
Palkinnot vaihtelevat 500 dollaria - $ 20,000 . Yksi tärkeimmistä ehdoista, joiden avulla voit saada palkinnon, on, että panoksesi koostuu koodin etäsuorittamisesta, huijaamisesta ja muista Xbox Live -turvallisuuteen vaikuttavista toiminnoista. Tämä on ilmoitettava asianmukaisesti selkeässä, konkreettisessa ja täydellisessä asiakirjassa, johon on lisättävä myös vastaava PoC (konseptin todistus) tai todiste konsepista tämän haavoittuvuuden hyödyntämiseksi.
On mahdollista, että palkintojen määrä on suurempi saatujen raporttien laadun ja osoitetun vaikutuksen mukaan. Tämä kriteeri on yksinomaan Microsoft. Myös tämän ohjelman voittajien valinta.
Mitkä ehdot otetaan huomioon haavoittuvuusraportissa?
Sanotun raportin tai testin on valitsemasi mukaan näytettävä heikkouksia, joita ei ole aiemmin ilmoitettu. Niitä ei olisi pitänyt ilmoittaa Xbox Liven uusimman version puolesta tai verkko- tai palveluympäristössä. Heikkouksien toistamisvaiheiden tulisi olla selkeitä, tiiviitä ja tietysti mahdollista toistaa. Paras vaihtoehto olisi, että voit dokumentoida sen tekemällä videota, koska todisteiden ymmärtäminen on helpompaa. Lisäksi se, että se on videomuodossa, suosii sen nopeaa tarkistamista ja voit saada parhaat palkinnot.
Nämä ovat joitain haavoittuvuuksista, jotka sisältyvät tähän palkitsemisohjelmaan:
- Sivustojenvälinen komentosarja (XSS)
- Sivustojen välinen väärentämispyyntö (CSRF)
- Vaarallisia viittauksia suoriin esineisiin
- Epävarma ansioituminen
- Haavoittuvuusinjektio
Toisaalta nämä ovat joitain heikkouksia, jotka eivät kuulu ohjelman piiriin:
- Palvelinpuolen tietojen paljastuminen
- Matalavaikutteiset CSRF-tyyppiset virheet, kuten uloskirjautuminen
- DoS-ongelmat
- Petoksiin liittyvät ongelmat
Sinun mielestäsi koodin etäsuorittaminen on kriittisin vakavuuden suhteen ja sisältyy korkeimpaan palkintojen vaihteluväliin: 5,000 (jos ilmoitetaan tärkeäksi) korkeintaan 20,000 XNUMX dollariin (jos se on kriitikko).
Oletko kiinnostunut osallistumaan? Sinun täytyy käydä virallinen portaali ohjelma. Sitä käytettäessä saat yksityiskohdat kaikista haavoittuvuuksista, jotka ovat ohjelmassa, niistä, jotka eivät ole, kaikista yleisistä osallistumisehdoista ja tarvittavasta ohjeesta, jotta voit lähettää videon tai raportin.
Epäilemättä tämä on loistava tilaisuus osallistua palkinto-ohjelmiin. Suoraan jättipottiin ei tarvitse mennä kerran. Vaikka emme pysty ansaitsemaan rahaa ja Microsoftin tunnustama asia (on olemassa tämä mahdollisuus), se on jo suuri askel eteenpäin. Muista, että pysyvyyden ansiosta voit ansaita paljon rahaa Bug Bounties -sovelluksilla.
