Microsoft anuncia el Programa Xbox Bounty para identificar vulnerabilidades y ofrece premios de hasta 20000$ para quienes las encuentre.
Índice de contenido
Xbox Bounty
Microsoft Xbox ha anunciado un nuevo programa de recompensas de errores. En un intento de utilizar la ayuda del público para identificar errores críticos en el ecosistema de software de Xbox. Las recompensas se decidirán de acuerdo con la gravedad del error, su impacto en la seguridad y la calidad del informe presentado por el investigador o "cazarrecompensas".
Muchas compañías han anunciado programas de recompensas de errores en el pasado como una forma de encontrar problemas críticos en sus sistemas de software. En este programa, hay múltiples niveles de impactos de seguridad. Desde la ejecución remota de código hasta la manipulación. Cada impacto de seguridad tiene sus recompensas según su gravedad. Que varía desde crítica hasta baja y tres niveles de calidad de informe.
Xbox Bounty: 20000$ para quien detecte vulnerabilidades
Para calificar para un envío elegible, un investigador debe identificar una vulnerabilidad no reportada previamente que pueda reproducirse en la última versión. Completamente parcheada de la red y los servicios de Xbox Live al momento del envío. El informe también debe incluir pasos claros, concisos y reproducibles, ya sea por escrito o en formato vídeo.
Algunos ejemplos ofrecidos por Microsoft para vulnerabilidades incluyen secuencias de comandos de sitios cruzados (XSS). Falsificación de solicitudes de sitios cruzados (CSRF), referencias directas inseguras a objetos, deserialización insegura, etc. formato en las pautas de presentación de Microsoft.
¿CÓMO SE ESTABLECEN LAS CANTIDADES DE PREMIO?
Los premios de recompensas van desde $ 500 hasta $ 20,000. Son posibles premios más altos, a exclusivo criterio de Microsoft, en función de la calidad del informe y el impacto de la vulnerabilidad. Los investigadores que brindan presentaciones que no califican para premios de recompensas aún pueden ser elegibles para reconocimiento público si su presentación conduce a una corrección de vulnerabilidad.
Xbox Bounty: VULNERABILIDADES EN ALCANCE
Los siguientes son ejemplos de vulnerabilidades que pueden conducir a uno o más de los impactos de seguridad anteriores:
- Scripting de sitios cruzados (XSS)
- Falsificación de solicitud de sitio cruzado (CSRF)
- Referencias inseguras de objetos directos
- Deserialización insegura
- Vulnerabilidades de inyección
- Ejecución del código del lado del servidor
- Mala configuración de seguridad significativa (cuando no es causada por el usuario)
- Explotaciones demostrables en componentes de terceros
- Requiere prueba completa de concepto (PoC) de explotabilidad. Por ejemplo, simplemente identificar y la biblioteca desactualizada no calificaría para un premio
¿CÓMO PROPORCIONO MI ENVÍO?
Envíe su envío completo a Microsoft utilizando el portal de envío de MSRC , siguiendo el formato recomendado en sus pautas de envío . Te solicitaran que sigas la Divulgación de vulnerabilidad coordinada cuando informe todas las vulnerabilidades.
Fuente: XBOX
