على خطى قوقل و فيس بوك وغيرها .. أعلنت مايكروسوفت عن برنامجها الخاص بمكافآت الباحثين الأمنيين عن الثغرات في مواقع خدماتها المتنوعة والتي تقدم مكافأة مالية تبدأ من 500 دولار.
ويمكن للخبراء الأمنيين التبليغ على عدة أنواع من الثغرات التي يدعمها البرنامج مثل ثغرات من نوع XSS و CSRF و الوصول غير المصرح به إلى البيانات والعبث فيها عبر عدة خدمات للشركة وثغرات الحقن و ثغرات الترخيص والسماحية و تنفيذ الشيفرات البرمجية على مستوى المخدم و رفع الامتيازات الممنوحة والتكوين الأمني الخاطئ وغيرها الكثير.
وحددت مايكروسوفت المواقع والنطاقات التي يشملها برنامج مكافآت الثغرات وهي:
portal.office.com
*.outlook.com تطبيقات خدمة البريد الإلكتروني للشركات على أوفيس 365 ما عدا خدمات أوت لوك الموجهة للزبائن الأفراد
outlook.office365.com
login.microsoftonline.com
*.sharepoint.com
*.lync.com
*.officeapps.live.com
www.yammer.com
api.yammer.com
adminwebservice.microsoftonline.com
provisioningapi.microsoftonline.com
graph.windows.net
وأضافت الشركة أنها ستوسع قائمة النطاقات والخدمات التي يشملها البرنامج الذي يهدف إلى حماية المستخدمين بأسرع وقت ممكن.
ومن جهة أخرى قدمت الشركة قائمة بالثغرات التي لن تدفع عليها مكافآت وهي:
- الثغرات التي تعتمد على ملفات الكوكيز أو نقص في حماية و أمان بروتوكول HTTP
- كشف المعلومات من جانب المخدم مثل أرقام IP و أسماء المخدمات
- الثغرات في تطبيقات الويب التي تؤثر على متصفحات غير مدعومة و إضافات
- الثغرات المستخدمة لتأكيد وجود المستخدمين
- الثغرات التي تتطلب تصرفات مستبعدة من المستخدم
- إعادة توجيه النطاق URL
- الثغرات في تقنيات المنصة التي لا تعد فريدة من نوعها للخدمات محط البحث
- ثغرات CSRF ضعيفة التأثير
- مشاكل حجب الخدمة
- ثغرات الرد على الكوكيز
ومن أجل التبليغ عن الثغرات التي تكتشفها في الخدمات المذكورة أعلاه من منتجات مايكروسوفت يمكنك إرسال تقريرك إلى البريد الإلكتروني [email protected]