E安全2月4日讯，据外媒报道，Microsoft安全响应中心（MSRC）宣布为Xbox游戏平台推出漏洞赏金计划，该计划针对的是Xbox Live网络服务中的远程执行代码漏洞，悬赏金额在500至20000美元。据报道，Xbox Bounty计划邀请游戏玩家，安全研究人员以及世界各地的其他人来帮助确定Xbox Live网络和服务中的安全漏洞，因此无论是业余的游戏玩家还是训练有素的安全专家，都可以向新的Xbox Bug赏金计划提交漏洞。

据悉，该计划的规则指出，微软将根据漏洞的严重性和影响以及提交的质量来酌情授予赏金。根据微软安全响应中心（MSRC）的项目经理布朗表示，符合评选条件的漏洞揭露计划必须是概念（POC）表达清晰并且有简洁的证明论述。更具体的说，漏洞赏金计划参与者需要通过POC来演示该漏洞的影响，并允许Xbox团队在修复所报告的问题之后修复该漏洞。

据报道，漏洞赏金计划将涵盖Xbox Live的云后端基础结构，具体的奖励将根据下表提供的内容进行衡量：

从表格中可以看出，远程代码执行漏洞的揭露者可赚取5000至20000美元的奖励，而特权升级漏洞可能会获得1000至8000美元的支出奖励，剩余的奖励发行费用将在1000美元至5000美元之间。无论如何，微软表示他们会逐案审查每个提交的内容，但一些常见的并且不那么严重的问题并且通常不会获得赏金奖励，例如以下问题：

服务器端信息公开，例如IP，服务器名称和大多数堆栈跟踪公开 影响较小的CSRF错误（例如注销错误） 拒绝服务问题 与欺诈有关的问题 子域接管问题 视频重播 漏洞 常规的URL重定向问题

于此同时，微软表示Xbox Bug赏金计划参与者也有一些限制条件。例如，微软已经取消了那些试图欺骗Xbox用户和工程师的漏洞猎手的参与资格，并取消了那些试图下载或访问敏感Xbox用户敏感数据的漏洞猎手的参与资格。

针对此次赏金计划，微软发布声明表示，Xbox自2002年推出以来，已经积累了数百万的用户粉丝。此次赏金计划体现了Xbox在安全开发和测试方面的投资，以发现和纠正对Xbox客户的安全性具有严重影响的漏洞，保证用户的数据和系统安全。

责任编辑：