尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
E安全2月4日訊,據外媒報導,Microsoft安全響應中心(MSRC)宣布為Xbox遊戲平台推出漏洞賞金計劃,該計劃針對的是Xbox Live網路服務中的遠程執行代碼漏洞,懸賞金額在500至20000美元。據報導,Xbox Bounty計劃邀請遊戲玩家,安全研究人員以及世界各地的其他人來幫助確定Xbox Live網路和服務中的安全漏洞,因此無論是業餘的遊戲玩家還是訓練有素的安全專家,都可以向新的Xbox Bug賞金計劃提交漏洞。
據悉,該計劃的規則指出,微軟將根據漏洞的嚴重性和影響以及提交的質量來酌情授予賞金。根據微軟安全響應中心(MSRC)的項目經理布朗表示,符合評選條件的漏洞揭露計劃必須是概念(POC)表達清晰並且有簡潔的證明論述。更具體的說,漏洞賞金計劃參與者需要通過POC來演示該漏洞的影響,並允許Xbox團隊在修復所報告的問題之後修復該漏洞。
據報導,漏洞賞金計劃將涵蓋Xbox Live的雲後端基礎結構,具體的獎勵將根據下表提供的內容進行衡量:
從表格中可以看出,遠程代碼執行漏洞的揭露者可賺取5000至20000美元的獎勵,而特權升級漏洞可能會獲得1000至8000美元的支出獎勵,剩餘的獎勵發行費用將在1000美元至5000美元之間。無論如何,微軟表示他們會逐案審查每個提交的內容,但一些常見的並且不那麼嚴重的問題並且通常不會獲得賞金獎勵,例如以下問題:
- 服務器端信息公開,例如IP,服務器名稱和大多數堆棧跟蹤公開
- 影響較小的CSRF錯誤(例如註銷錯誤)
- 拒絕服務問題
- 與欺詐有關的問題
- 子域接管問題
- 視頻重播 漏洞
- 常規的URL重定向問題
於此同時,微軟表示Xbox Bug賞金計劃參與者也有一些限制條件。例如,微軟已經取消了那些試圖欺騙Xbox用戶和工程師的漏洞獵手的參與資格,並取消了那些試圖下載或訪問敏感Xbox用戶敏感數據的漏洞獵手的參與資格。
針對此次賞金計劃,微軟發布聲明表示,Xbox自2002年推出以來,已經積累了數百萬的用戶粉絲。此次賞金計劃體現了Xbox在安全開發和測試方面的投資,以發現和糾正對Xbox客戶的安全性具有嚴重影響的漏洞,保證用戶的數據和系統安全。