E安全2月4日讯,据外媒报道,Microsoft安全响应中心(MSRC)宣布为Xbox游戏平台推出漏洞赏金计划,该计划针对的是Xbox Live网络服务中的远程执行代码漏洞,悬赏金额在500至20000美元。据报道,Xbox Bounty计划邀请游戏玩家,安全研究人员以及世界各地的其他人来帮助确定Xbox Live网络和服务中的安全漏洞,因此无论是业余的游戏玩家还是训练有素的安全专家,都可以向新的Xbox Bug赏金计划提交漏洞。
据悉,该计划的规则指出,微软将根据漏洞的严重性和影响以及提交的质量来酌情授予赏金。根据微软安全响应中心(MSRC)的项目经理布朗表示,符合评选条件的漏洞揭露计划必须是概念(POC)表达清晰并且有简洁的证明论述。更具体的说,漏洞赏金计划参与者需要通过POC来演示该漏洞的影响,并允许Xbox团队在修复所报告的问题之后修复该漏洞。
据报道,漏洞赏金计划将涵盖Xbox Live的云后端基础结构,具体的奖励将根据下表提供的内容进行衡量:
从表格中可以看出,远程代码执行漏洞的揭露者可赚取5000至20000美元的奖励,而特权升级漏洞可能会获得1000至8000美元的支出奖励,剩余的奖励发行费用将在1000美元至5000美元之间。无论如何,微软表示他们会逐案审查每个提交的内容,但一些常见的并且不那么严重的问题并且通常不会获得赏金奖励,例如以下问题:
服务器端信息公开,例如IP,服务器名称和大多数堆栈跟踪公开 影响较小的CSRF错误(例如注销错误) 拒绝服务问题 与欺诈有关的问题 子域接管问题 视频重播 漏洞 常规的URL重定向问题于此同时,微软表示Xbox Bug赏金计划参与者也有一些限制条件。例如,微软已经取消了那些试图欺骗Xbox用户和工程师的漏洞猎手的参与资格,并取消了那些试图下载或访问敏感Xbox用户敏感数据的漏洞猎手的参与资格。
针对此次赏金计划,微软发布声明表示,Xbox自2002年推出以来,已经积累了数百万的用户粉丝。此次赏金计划体现了Xbox在安全开发和测试方面的投资,以发现和纠正对Xbox客户的安全性具有严重影响的漏洞,保证用户的数据和系统安全。
责任编辑: