微軟現(xiàn)在將向報告.NET漏洞的用戶支付高達40000美元的報酬

cnBeta

許多公司提供漏洞賞金計劃，鼓勵人們搜索并發(fā)現(xiàn)軟件中的安全漏洞，并私下向供應商報告，以便在惡意攻擊者利用漏洞之前實施并應用修復程序。安全研究人員和其他公眾會獲得金錢獎勵，從而獲得經(jīng)濟激勵。現(xiàn)在，微軟已宣布對其 .NET Bounty 計劃進行重大更新。

獎勵金額現(xiàn)從 7000 美元起，最高可達令人垂涎的 40000 美元。請注意，最高獎勵僅適用于私下披露遠程代碼執(zhí)行 (RCE) 或特權提升 (EoP) 漏洞，并提供完整文檔且造成嚴重影響的情況。

各獎勵等級的細分如下：

安全影響 報告質量 批判的 重要的 遠程代碼執(zhí)行

完整的

4萬美元 3萬美元 未完成 2萬美元 2萬美元 權限提升 完整的 4萬美元 10，000美元 未完成 2萬美元 4，000美元 安全功能繞過 完整的 3萬美元 10，000美元 未完成 2萬美元 4，000美元 遠程拒絕服務 完整的 2萬美元 10，000美元 未完成 15，000美元 4，000美元 欺騙或篡改 完整的 10，000美元 5，000 美元 未完成 7，000美元 3，000 美元 信息披露 完整的 10，000美元 5，000 美元 未完成 7，000美元 3，000 美元 文檔或文檔中包含的樣本是不安全的或鼓勵不安全的，并且不被描述為不考慮安全性的樣本 完整的 10，000美元 5，000 美元 未完成 7，000美元 3，000 美元

值得注意的是，.NET 賞金計劃主要圍繞 .NET 和ASP.NET Core 展開，包括 Blazor 和 Aspire。但新的產(chǎn)品類別現(xiàn)在涵蓋了所有受支持的 .NET 和ASP.NET版本、適用于 .NET Framework 的ASP.NET Core、上述內容提供的模板、其存儲庫中的 GitHub Actions 以及 F# 等相關技術。

更新后的獎勵結構確保了嚴重性等級的明確定義，以便高影響的問題獲得更高的獎勵，同時還提供了關于如何將報告視為“完整”的指南。您可以在微軟的專門博客文章中找到更多信息。