Microsoft acaba de lanzar su progrma de detección de fallos denominado Microsoft Online Services Bug Bounty Program destinado a que todos aquellos "aspirantes" a hackers o crackers intenten encontrar las vulnerabilidades de sus servicios. El programa ofrecerá recompensas para quienes detecten esos fallos, cuya cantidad de dinero dependerá de la gravedad del "bug", pero que será al menos de 500 dólares.
Las vulnerabilidades que se pueden intentar detectar incluyen los scripts de la plataforma del sitio (Cross Site Scripting o XSS), CSRF (Cross Site Request Forgery), referencias inseguras a objetos directos, inyección de código o errores de autentificación, ejecudión de código de lado del servidor, escalado de privilegios y elementos parecidos. La compañía garantiza discreción en los pagos a todo aquel que encuentre vulnerabilidades.
Los sitios web a "testear" incluyen:
- portal.office.com
- *.outlook.com (Office 365 para negocios y servicios de email, pero excluyendo los servicios de "outlook.com")
- outlook.office365.com
- login.microsoftonline.com
- *.sharepoint.com
- *.lync.com
- *.officeapps.live.com
- www.yammer.com
- api.yammer.com
- adminwebservice.microsoftonline.com
- provisioningapi.microsoftonline.com
- graph.windows.net
No obstante Microsoft también aclaró que no serán recompensadas todo tipo de vulnerabilidades "sin más", sino las que ellos consideren realmente serias y peligrosas. Así, han mencionado que, por ejemplo, no tendrán tenidas en cuenta falta de encabezados en servidores y protocolos HTTP seguros, bugs que usados para enumerar o confirmar la existencia de usuarios o clientes, bugs requiriendo que el usuario no haga ninguna acción, redirecciones de URL, vulnerabilidades genéricas del servidor (de Apache o de servicios IIS, por ejemplo), fallos de bajo impacto (por ejemplo, los que simplemente logren que el cliente se desconecte), fallos de denegación de servicios y vulnerabilidades de cookies.
Si quieres perseguir la recompensa por parte de Microsoft, no estaría de mas que revisaras el listado de bugs "admisibles" al completo, para que no acabes trabajando en vano. Si, por el contrario, crees que el error que has encontrado es realmente peligroso y dañino, puedes ponérselo en conocimiento de Microsoft escribiéndoles al e-mail secure@microsoft.com
| Redacción: Revista Ordenadores
No hay comentarios:
Publicar un comentario