Bug Bounty Xbox Live: รางวัลที่น่าสนใจสำหรับการรายงานช่องโหว่

กุมภาพันธ์ 4, 2020 แมตต์มิลส์ อินเทอร์เน็ต 0

มันเป็นเรื่องธรรมดาสำหรับ บริษัท ที่มีชื่อเสียงระดับโลกที่จะเปิดตัวที่น่าสนใจ โปรแกรม Bug Bounty . สิ่งเหล่านี้ประกอบด้วยการให้รางวัลแก่ทุกคนที่จัดการเพื่อค้นหาช่องโหว่ที่มีผลกระทบสูงต่อผลิตภัณฑ์หรือบริการของพวกเขา ในกรณีส่วนใหญ่รางวัลประกอบด้วยเงินจำนวนมากทำให้พวกเขาน่าสนใจและท้าทายมากขึ้น

ในโอกาสนี้, Xbox เป็นวัตถุประสงค์ของโปรแกรมนี้ที่แสวงหาทั้งผู้ที่ชื่นชอบและผู้เชี่ยวชาญด้านความปลอดภัยในฐานะผู้เล่นได้รับการสนับสนุนให้เข้าร่วม สิ่งเหล่านี้ควรรายงานช่องโหว่ที่พบในเวอร์ชันล่าสุดของ Xbox Live มันใช้กับทั้งบริการและเครือข่ายโดยทั่วไปXbox สด

ของรางวัลมีตั้งแต่ $ 500 ถึง $ 20,000 . หนึ่งในเงื่อนไขที่สำคัญที่สุดที่จะช่วยให้คุณมีสิทธิ์ได้รับรางวัลคือการมีส่วนร่วมของคุณประกอบด้วยการใช้รหัสจากระยะไกลการปลอมแปลงและกิจกรรมอื่น ๆ ที่ส่งผลต่อความปลอดภัยของ Xbox Live สิ่งนี้จะต้องถูกรายงานอย่างถูกต้องในเอกสารที่ชัดเจนเป็นรูปธรรมและสมบูรณ์รวมถึงการเพิ่มที่เกี่ยวข้อง PoC (หลักฐานแสดงแนวคิด) หรือพิสูจน์แนวคิดเพื่อใช้ประโยชน์จากช่องโหว่นี้

มีความเป็นไปได้ที่จำนวนรางวัลจะมากขึ้นตามคุณภาพและผลกระทบที่แสดงให้เห็นจากรายงานและหลักฐานที่ได้รับ เกณฑ์นี้จะเป็นความรับผิดชอบ แต่เพียงผู้เดียว ไมโครซอฟท์. นอกจากนี้ตัวเลือกของผู้ชนะของโปรแกรมนี้

มีการพิจารณาเงื่อนไขใดบ้างสำหรับรายงานความเสี่ยง

รายงานหรือการทดสอบดังกล่าวตามที่คุณเลือกจะต้องแสดงช่องโหว่ที่ไม่เคยรายงานมาก่อน สิ่งเหล่านี้ไม่ควรถูกรายงานในนามของ Xbox Live เวอร์ชันล่าสุดหรือในสภาพแวดล้อมเครือข่ายหรือบริการ ขั้นตอนในการทำซ้ำช่องโหว่ควรมีความชัดเจนรัดกุมและเป็นไปได้ในการทำซ้ำ ทางเลือกที่ดีที่สุดคือคุณสามารถจัดทำเอกสารด้วยการสร้างวิดีโอเนื่องจากง่ายต่อการเข้าใจหลักฐาน นอกจากนี้ความจริงที่ว่ามันอยู่ในรูปแบบวิดีโอจะช่วยให้การตรวจสอบอย่างรวดเร็วและคุณสามารถมีสิทธิ์ได้รับรางวัลสูงสุด

นี่คือช่องโหว่บางอย่างที่รวมอยู่ในโปรแกรมรางวัลนี้:

  • การเขียนสคริปต์ข้ามไซต์ (XSS)
  • การปลอมแปลงคำขอข้ามไซต์ (CSRF)
  • การอ้างอิงที่ไม่ปลอดภัยกับวัตถุโดยตรง
  • deserialization ที่ไม่ปลอดภัย
  • ช่องโหว่การฉีด

ในทางกลับกันช่องโหว่เหล่านี้เป็นบางส่วนที่ไม่ได้อยู่ในขอบเขตของโปรแกรม:

  • การเปิดเผยข้อมูลฝั่งเซิร์ฟเวอร์
  • บั๊กชนิด CSRF ที่มีผลกระทบต่ำเช่นออกจากระบบ
  • ปัญหา DoS
  • ปัญหาเกี่ยวกับการฉ้อโกง

เพื่อการพิจารณาของคุณการเรียกใช้รหัสระยะไกลคือ สำคัญที่สุด ในแง่ของความรุนแรงและรวมอยู่ในช่วงรางวัลสูงสุด: จาก 5,000 (หากรายงานว่ามีความสำคัญ) จนถึงสูงสุด $ 20,000 (ถ้าเป็นนักวิจารณ์)

คุณสนใจที่จะเข้าร่วมหรือไม่? คุณต้องไปที่ พอร์ทัลอย่างเป็นทางการของ โปรแกรม. การเข้าถึงคุณจะมีรายละเอียดของช่องโหว่ทั้งหมดที่อยู่ในโปรแกรมซึ่งไม่ใช่เงื่อนไขทั่วไปทั้งหมดที่จะเข้าร่วมและความช่วยเหลือที่จำเป็นเพื่อให้คุณสามารถส่งวิดีโอหรือรายงานของคุณ

ไม่ต้องสงสัยเลยว่านี่เป็นโอกาสที่ดีในการเข้าร่วมโปรแกรมรางวัล ไม่จำเป็นต้องไปที่แจ๊คพอตทันที แม้ว่าจะไม่สามารถรับเงินสดและได้รับการยอมรับจาก Microsoft (มีความเป็นไปได้นั้น) มันเป็นก้าวที่ยอดเยี่ยมไปแล้ว โปรดจำไว้ว่าด้วยความเพียรคุณสามารถสร้างรายได้เป็นจำนวนมากด้วย Bug Bounties