新闻链接：816K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3y4o6f1K6y4U0u0Q4x3X3g2Z5N6r3#2D9
新闻时间：2014-09-24
新闻正文：

9月24日，微软宣布开启“在线服务除虫赏金计划”(Microsoft Online Services Bug Bounty Program)，针对微软旗下提供的多项在线服务，安全研究人员都可以向微软官方提交漏洞获取奖金。每个符合要求及类型的漏洞悬赏金额都在500美元以上，并且根据报告漏洞的影响，奖金的金额可能更高。
漏洞接收要求
接收漏洞的类型有
跨站脚本漏洞（XSS）
跨站请求伪造漏洞（CSRF）
绕过授权访问漏洞
不安全的对象引用
注入漏洞
认证漏洞
服务端代码执行
权限提升
重大安全配置错误
白帽子提交的所有漏洞都会由微软公司直接处理，下面的域名属于可提交的范围
portal.office.com
*.outlook.com (Office 365商业应用, 包括“outlook.com”下的服务)
outlook.office365.com
login.microsoftonline.com
*.sharepoint.com
*.lync.com
*.officeapps.live.com
e06N6%4N6%4i4K6u0W2P5h3q4E0L8h3g2J5i4K6u0W2j5$3!0E0
api.yammer.com
adminwebservice.microsoftonline.com
provisioningapi.microsoftonline.com
graph.windows.net
微软表示，其将计划将更多的在线服务囊括到测试项目中来。目标与其他的漏洞奖励计划是相同的：尽可能多的发现未知的安全问题，让我们的客户更加迅捷地获得更安全的保护。
不接收的漏洞
话虽然这么说，不过以下的漏洞类别是不能获得漏洞奖励的：
·缺乏安全的HTTP头（比如“X-FRAME-OPTIONS”）或者缺乏安全的cookies标志（比如“httponly”）
·服务器信息披露，如服务器IP地址，服务器名称等
·仅影响不受支持的浏览器和插件的网页应用程序
·确认用户是否存在的枚举漏洞
·用户几乎不会用到的操作而产生的漏洞
·URL重定向漏洞（除非结合其他漏洞会产生更严重的漏洞）
·平台类漏洞，不单单在微软的服务器中出现（比如Apache或者IIS漏洞）
·需要微软用户登录权限的XSS漏洞（比如您使用了微软的产品，需要登录之后才会触发的漏洞）
·低危害的CSRF漏洞
·DDOS
·Cookie重放漏洞
漏洞提交地址
如果你发现了漏洞，微软欢迎您发送Email到secure@microsoft.com
[参考信息来源：a69K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6K6i4K6u0W2L8$3k6X3K9h3y4W2i4K6u0W2j5$3!0E0i4K6u0r3x3U0l9I4y4q4)9J5c8U0l9&6i4K6u0r3x3U0y4Q4x3V1k6E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3c8G2L8X3I4A6L8X3g2Q4x3X3c8K6k6i4u0$3K9h3y4W2M7#2)9J5k6r3u0#2k6#2)9J5k6r3u0G2N6h3&6@1P5g2)9J5k6s2m8J5L8$3N6J5j5h3#2Q4x3X3c8D9j5i4g2F1j5$3S2W2M7#2)9J5k6r3!0X3k6X3W2U0k6g2)9J5k6o6x3$3y4b7`.`.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课