新闻链接：4b2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2@1N6s2m8Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3M7X3g2W2j5Y4g2X3i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8U0b7#2x3K6j5J5i4K6u0W2K9s2c8E0L8l9`.`.

新闻时间： 2014-09-28 

新闻正文：9月24日，微软宣布开启“在线服务除虫赏金计划”(Microsoft Online Services Bug Bounty Program)，针对微软旗下提供的多项在线服务，安全研究人员都可以向微软官方提交漏洞获取奖金。每个符合要求及类型的漏洞悬赏金额都在500美元以上，并且根据报告漏洞的影响，奖金的金额可能更高。

漏洞接收要求

接收漏洞的类型有
跨站脚本漏洞（XSS）
跨站请求伪造漏洞（CSRF）
绕过授权访问漏洞
不安全的对象引用
注入漏洞
认证漏洞
服务端代码执行
权限提升
重大安全配置错误

白帽子提交的所有漏洞都会由微软公司直接处理，下面的域名属于可提交的范围
portal.office.com
*.outlook.com (Office 365商业应用, 包括“outlook.com”下的服务)
outlook.office365.com
login.microsoftonline.com
*.sharepoint.com
*.lync.com
*.officeapps.live.com
581K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4W2S2L8h3#2W2M7W2)9J5k6h3y4G2L8b7`.`.
api.yammer.com
adminwebservice.microsoftonline.com
provisioningapi.microsoftonline.com
graph.windows.net

微软表示，其将计划将更多的在线服务囊括到测试项目中来。目标与其他的漏洞奖励计划是相同的：尽可能多的发现未知的安全问题，让我们的客户更加迅捷地获得更安全的保护。

不接收的漏洞

话虽然这么说，不过以下的漏洞类别是不能获得漏洞奖励的：
·缺乏安全的HTTP头（比如“X-FRAME-OPTIONS”）或者缺乏安全的cookies标志（比如“httponly”）
·服务器信息披露，如服务器IP地址，服务器名称等
·仅影响不受支持的浏览器和插件的网页应用程序
·确认用户是否存在的枚举漏洞
·用户几乎不会用到的操作而产生的漏洞
·URL重定向漏洞（除非结合其他漏洞会产生更严重的漏洞）
·平台类漏洞，不单单在微软的服务器中出现（比如Apache或者IIS漏洞）
·需要微软用户登录权限的XSS漏洞（比如您使用了微软的产品，需要登录之后才会触发的漏洞）
·低危害的CSRF漏洞
·DDOS
·Cookie重放漏洞

漏洞提交地址

如果你发现了漏洞，微软欢迎您发送Email到secure@microsoft.com

[参考信息来源：4a8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6K6i4K6u0W2L8$3k6X3K9h3y4W2i4K6u0W2j5$3!0E0i4K6u0r3x3U0l9I4y4q4)9J5c8U0l9&6i4K6u0r3x3U0y4Q4x3V1k6E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3c8G2L8X3I4A6L8X3g2Q4x3X3c8K6k6i4u0$3K9h3y4W2M7#2)9J5k6r3u0#2k6#2)9J5k6r3u0G2N6h3&6@1P5g2)9J5k6s2m8J5L8$3N6J5j5h3#2Q4x3X3c8D9j5i4g2F1j5$3S2W2M7#2)9J5k6r3!0X3k6X3W2U0k6g2)9J5k6o6x3$3y4g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5q4!0n7c8q4!0m8b7#2!0q4z5q4!0n7c8q4!0n7c8q4!0q4z5q4!0m8c8W2!0n7y4#2!0q4y4W2!0n7x3#2!0m8z5q4!0q4y4W2)9&6z5q4)9^5c8g2!0q4y4W2)9&6c8q4!0m8y4g2!0q4z5q4)9^5y4#2!0m8b7f1k6J5k6h3g2n7N6h3k6Q4x3X3g2o6e0@1#2Q4y4f1b7`.

如文中未特别声明转载请注明出自：FreebuF.COM

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课