มันเป็นเรื่องธรรมดาสำหรับ บริษัท ที่มีชื่อเสียงระดับโลกที่จะเปิดตัวที่น่าสนใจ โปรแกรม Bug Bounty . สิ่งเหล่านี้ประกอบด้วยการให้รางวัลแก่ทุกคนที่จัดการเพื่อค้นหาช่องโหว่ที่มีผลกระทบสูงต่อผลิตภัณฑ์หรือบริการของพวกเขา ในกรณีส่วนใหญ่รางวัลประกอบด้วยเงินจำนวนมากทำให้พวกเขาน่าสนใจและท้าทายมากขึ้น
ในโอกาสนี้, Xbox เป็นวัตถุประสงค์ของโปรแกรมนี้ที่แสวงหาทั้งผู้ที่ชื่นชอบและผู้เชี่ยวชาญด้านความปลอดภัยในฐานะผู้เล่นได้รับการสนับสนุนให้เข้าร่วม สิ่งเหล่านี้ควรรายงานช่องโหว่ที่พบในเวอร์ชันล่าสุดของ Xbox Live มันใช้กับทั้งบริการและเครือข่ายโดยทั่วไป
ของรางวัลมีตั้งแต่ $ 500 ถึง $ 20,000 . หนึ่งในเงื่อนไขที่สำคัญที่สุดที่จะช่วยให้คุณมีสิทธิ์ได้รับรางวัลคือการมีส่วนร่วมของคุณประกอบด้วยการใช้รหัสจากระยะไกลการปลอมแปลงและกิจกรรมอื่น ๆ ที่ส่งผลต่อความปลอดภัยของ Xbox Live สิ่งนี้จะต้องถูกรายงานอย่างถูกต้องในเอกสารที่ชัดเจนเป็นรูปธรรมและสมบูรณ์รวมถึงการเพิ่มที่เกี่ยวข้อง PoC (หลักฐานแสดงแนวคิด) หรือพิสูจน์แนวคิดเพื่อใช้ประโยชน์จากช่องโหว่นี้
มีความเป็นไปได้ที่จำนวนรางวัลจะมากขึ้นตามคุณภาพและผลกระทบที่แสดงให้เห็นจากรายงานและหลักฐานที่ได้รับ เกณฑ์นี้จะเป็นความรับผิดชอบ แต่เพียงผู้เดียว ไมโครซอฟท์. นอกจากนี้ตัวเลือกของผู้ชนะของโปรแกรมนี้
มีการพิจารณาเงื่อนไขใดบ้างสำหรับรายงานความเสี่ยง
รายงานหรือการทดสอบดังกล่าวตามที่คุณเลือกจะต้องแสดงช่องโหว่ที่ไม่เคยรายงานมาก่อน สิ่งเหล่านี้ไม่ควรถูกรายงานในนามของ Xbox Live เวอร์ชันล่าสุดหรือในสภาพแวดล้อมเครือข่ายหรือบริการ ขั้นตอนในการทำซ้ำช่องโหว่ควรมีความชัดเจนรัดกุมและเป็นไปได้ในการทำซ้ำ ทางเลือกที่ดีที่สุดคือคุณสามารถจัดทำเอกสารด้วยการสร้างวิดีโอเนื่องจากง่ายต่อการเข้าใจหลักฐาน นอกจากนี้ความจริงที่ว่ามันอยู่ในรูปแบบวิดีโอจะช่วยให้การตรวจสอบอย่างรวดเร็วและคุณสามารถมีสิทธิ์ได้รับรางวัลสูงสุด
นี่คือช่องโหว่บางอย่างที่รวมอยู่ในโปรแกรมรางวัลนี้:
- การเขียนสคริปต์ข้ามไซต์ (XSS)
- การปลอมแปลงคำขอข้ามไซต์ (CSRF)
- การอ้างอิงที่ไม่ปลอดภัยกับวัตถุโดยตรง
- deserialization ที่ไม่ปลอดภัย
- ช่องโหว่การฉีด
ในทางกลับกันช่องโหว่เหล่านี้เป็นบางส่วนที่ไม่ได้อยู่ในขอบเขตของโปรแกรม:
- การเปิดเผยข้อมูลฝั่งเซิร์ฟเวอร์
- บั๊กชนิด CSRF ที่มีผลกระทบต่ำเช่นออกจากระบบ
- ปัญหา DoS
- ปัญหาเกี่ยวกับการฉ้อโกง
เพื่อการพิจารณาของคุณการเรียกใช้รหัสระยะไกลคือ สำคัญที่สุด ในแง่ของความรุนแรงและรวมอยู่ในช่วงรางวัลสูงสุด: จาก 5,000 (หากรายงานว่ามีความสำคัญ) จนถึงสูงสุด $ 20,000 (ถ้าเป็นนักวิจารณ์)
คุณสนใจที่จะเข้าร่วมหรือไม่? คุณต้องไปที่ พอร์ทัลอย่างเป็นทางการของ โปรแกรม. การเข้าถึงคุณจะมีรายละเอียดของช่องโหว่ทั้งหมดที่อยู่ในโปรแกรมซึ่งไม่ใช่เงื่อนไขทั่วไปทั้งหมดที่จะเข้าร่วมและความช่วยเหลือที่จำเป็นเพื่อให้คุณสามารถส่งวิดีโอหรือรายงานของคุณ
ไม่ต้องสงสัยเลยว่านี่เป็นโอกาสที่ดีในการเข้าร่วมโปรแกรมรางวัล ไม่จำเป็นต้องไปที่แจ๊คพอตทันที แม้ว่าจะไม่สามารถรับเงินสดและได้รับการยอมรับจาก Microsoft (มีความเป็นไปได้นั้น) มันเป็นก้าวที่ยอดเยี่ยมไปแล้ว โปรดจำไว้ว่าด้วยความเพียรคุณสามารถสร้างรายได้เป็นจำนวนมากด้วย Bug Bounties