Компания Microsoft недавно добавила своё облачное хранилище OneDrive в список сервисов, уязвимости в которых ищут в рамках программы Bounty Program. При обнаружении уязвимости в OneDrive исследователи могут рассчитывать на вознаграждение в размере до $15000.
Объявление об этом появилось на странице портала TechNet. Microsoft говорит, что к OneDrive применяются те же условия, что и ко всем остальным продуктам в рамках Bug Bounty Program. Чтобы претендовать на награду, нужно найти уязвимости в категориях XSS, CSRF, небезопасные прямые ссылки на объекты, уязвимости внедрения (injection vulnerabilities), выполнение кода на сервере (server-side code execution), повышение привилегий (privilege escalation) и не вызванные пользователями проблемы с конфигурацией.
Обычно исследователям платят за уязвимости в веб-приложениях в сетевых сервисах. Для более быстрой обработки и максимального вознаграждения в заявках в кратком и понятном виде должны быть представлены инструкции о том, как использовать каждую уязвимость. Возраст участников программы должен быть выше 14 лет, они не должны работать в Microsoft и ряде других организаций.
Microsoft говорит, что добавление в список OneDrive показывает приверженность компании поддержанию высокого уровня безопасности своих продуктов.