IT정보보안

프로그램 설명 오늘날의 보안은 도메인 내부 및 도메인 간 신원 및 ID 데이터의 협업 커뮤니케이션에 달려 있습니다. 고객의 디지털 신원은 종종 서비스에 액세스하고 인터넷을 통해 상호 작용하는 열쇠입니다. Microsoft는 소비자 (Microsoft 계정) 및 엔터프라이즈 (Azure Active Directory) ID 솔루션의 보안과 개인 정보 보호에 많은 투자를했습니다. 우리는 공식 표준 기관 내의 표준 전문가 커뮤니티의 일환으로 강력한 인증, 안전한 사인온, 세션, API 보안 및 기타 중요한 인프라 작업을 촉진하는 신원 관련 사양의 생성, 구현 및 개선에 집중적으로 투자 해 왔습니다. IETF, W3C, 또는 OpenID Foundation과 같은 사용자 인터페이스를 지원합니다. 고객의 보안에 대한 강한 의지를 인정하여 Microsoft Identity Bounty Program을 시작했습니다. 보안 연구원으로 ID 서비스의 보안 취약점을 발견 한 경우 개인 정보를 공개하고 기술 정보를 게시하기 전에 해결할 수있는 기회를 주신 데 대해 감사드립니다. 또한 우리가 공동체에서 정의 할 수 있도록 열심히 노력한 업계 정체성 표준 작업에 대한 우리의 공약에서 우리는 OpenID 표준을 인증 한 구현을 포괄 할 수있는 특혜를 제공합니다. 표준 프로토콜 또는 구현 보너스에 대한 제출은이 현상금 범위에서 완전히 승인 된 신원 표준을 가져야하며 인증 된 제품, 서비스 또는 라이브러리에 구현 된 프로토콜의 보안 취약점을 발견했습니다. 우리는 함께 디지털 신원이 안전하고 안전하다는 확신을 가질 수 있습니다. Microsoft Identity Bounty 프로그램은 여기에 설명 된 법적 조항의 적용을받으며이 프로그램 설명 내에서 수정됩니다.

유자격 제출물은 무엇을 구성합니까? Microsoft Bug Bounty 프로그램은 귀하의 발견에 반영한 연구 결과를 반영하여 고품질의 제출물을 보상하고자합니다. 보고서의 목표는 지식과 전문성을 Microsoft 개발자 및 엔지니어와 공유하여 사용자가 신속하고 효율적으로 결과를 이해하고 재현 할 수 있도록하는 것입니다. 이 방법으로 취약점을 해결할 수있는 배경과 배경이 있습니다. Microsoft에 제공된 취약점 제출은 지불 자격을 얻기 위해 다음 기준을 충족해야합니다. 범위 내에 나열된 Microsoft Identity Services에서 재현되는 원래보고되지 않은 중요하거나 중요한보고를 식별하십시오. Microsoft 계정이나 Azure Active Directory 계정을 인계하는 원래의보고되지 않은 취약점을 확인하십시오. 나열된 OpenID 표준 또는 인증 된 제품, 서비스 또는 라이브러리에 구현 된 프로토콜을 사용하여 원래보고되지 않은 취약점을 식별하십시오. Microsoft Authenticator 응용 프로그램의 모든 버전에 대해 제출하십시오. 그러나 현상금은 최신 공개 버전에 대한 버그가 재생 된 경우에만 지급됩니다. 이슈에 대한 설명과 쉽게 이해할 수있는 간결한 재현성 단계를 포함 시키십시오. (제출을 가능한 한 빨리 처리하고보고되는 ​​취약성 유형에 대해 가장 높은 지불을 지원합니다.) 취약점의 영향을 포함시킵니다. 명백하지 않은 경우 공격 벡터 포함

Scope:

• login.windows.net
• login.microsoftonline.com
• login.live.com
• account.live.com
• account.windowsazure.com
• account.activedirectory.windowsazure.com
• credential.activedirectory.windowsazure.com
• portal.office.com
• passwordreset.microsoftonline.com
• Microsoft Authenticator (iOS and Android applications)*

Standards Scope**:

표준 범위 ** : OpenID Foundation - OpenID Connect 제품군 OpenID Connect Core OpenID Connect Discovery OpenID Connect 세션 OAuth 2.0 복수 응답 유형 OAuth 2.0 양식 게시물 응답 유형 Microsoft 제품 및 서비스 여기에 나열된 인증 구현 (http://openid.net/certification) * 모바일 응용 프로그램의 경우 응용 프로그램 및 모바일 운영 체제의 최신 버전에서 연구를 재현해야합니다. ** 법적 참고 사항 : 신원 표준 실무 그룹에 대한 기고 나 제휴를 맺은 표준 전문가는 표준 관련 현상금을받을 자격이 없습니다.

지불 금액은 어떻게 책정됩니까? 현상금 범위가 500 달러에서 최대 100,000 달러에 이르는 신청에 대한 보상. 높은 지불금은 보고서의 품질과 취약점의 보안 영향에 따라 제공됩니다. 보안 연구원은 가능한 한 가장 높은 지불금 가능성이 높아지도록 제출 시점에 많은 양의 데이터를 제공하는 것이 좋습니다. 중요한 사용자 상호 작용이 필요한 취약성에 대해서는 일반적으로 더 적은 금액을 보상합니다. 서로 다른 당사자가 발행 한 동일한 문제에 대한 여러 버그 보고서를 받으면 첫 번째 제출물에 현상금이 부여됩니다. 중복 보고서가 이전에 Microsoft에 알려지지 않은 새로운 정보를 제공하는 경우 중복 제출을 차등책으로 인정할 수 있습니다. 제출물이 잠재적으로 여러 현상금 프로그램의 대상이 될 경우 단일 현상금 프로그램에서 단일 한 최고 지불금을 받게됩니다. Microsoft는 단독 재량에 따라 제출을 거부 할 권한이 있으며 위의 기준을 충족하지 않는다고 판단합니다.

고품질 제출 기본 품질 제출 불완전한 제출 중요한 인증 우회 최대 $ 40,000 최대 $ 10,000 $ 1,000부터 다중 요소 인증 우회 최대 $ 100,000 최대 $ 50,000 $ 1,000부터 표준 설계 취약점 최대 $ 100,000 최대 $ 30,000 2,500 달러부터 표준 기반 구현 취약점 최대 $ 75,000 최대 $ 25,000 2,500 달러부터 사이트 간 스크립팅 (XSS) 최대 $ 20,000 최대 $ 5,000 $ 1,000부터 교차 사이트 요청 위조 (CSRF) 최대 $ 10,000 최대 $ 3,000 $ 500부터 인증 결함 최대 $ 8,000 최대 $ 4,000 $ 500부터 민감한 데이터 노출 최대 $ 5,000 최대 2,500 달러 $ 500부터

고품질 보고서는 엔지니어가 문제를 신속하게 재생산, 이해 및 수정하는 데 필요한 정보를 제공합니다. 여기에는 일반적으로 필요한 배경 정보, 버그에 대한 설명 및 개념 증명을 포함하는 간략한 작성이 포함됩니다. 우리는 일부 문제는 재현하고 이해하기가 극히 어렵다는 것을 알고 있으며 제출물의 품질을 판단 할 때 고려됩니다. 많은 사이트는 공통 플랫폼을 공유합니다. 따라서 공유 플랫폼 자체에 문제가있는 경우 한 도메인에서보고 된 취약점이 다른 도메인에 존재할 수 있습니다. 예를 들어, account.microsoft.com에 대해보고 된 문제는 account.microsoft.co.uk에서도 똑같은 방식으로 나타날 수 있으며 동일한 문제가있는 두 사이트에서 문제가 해결됩니다. 우선 먼저이를 확인하고 여러 보고서를 제출하는 대신 하나의 보고서에 다른 취약한 위치를 포함 시키십시오. 이 경우 문제를 하나의 버그로 간주하고 중복 된 것으로 나머지를 닫습니다.

연구 및 고객 데이터에 관한 중요한 정보 독립적 인 보안 연구는 제품과 서비스의 보안에 대한 전반적인 신뢰의 중요한 구성 요소입니다. 그 연구의 일환으로 지역 사회는 이러한 서비스가 지속적으로 고객을 사용하기위한 생산 환경에서 운영되고 실행되고 있음을 인식해야합니다. 우리는 보안 연구원들이 다음을 위해 선의의 노력을 기울 이도록 요청합니다. 연구 중 개인 정보 침해, 데이터 파괴 및 서비스 중단 또는 저하를 피하십시오. 조사하는 동안 고객 데이터를 발견하면 즉시 중지하고 Google에 문의하십시오. 취약점 테스트는 프로그램 참가자가 소유 한 가입 / 계정의 거주자 만 수행해야합니다. 아래 목록에서 <Tenant>는 귀하가 소유하고있는 구독자 중 다른 거주자를 대상으로 테스트를 실행하지 않는 테넌트를 나타냅니다. 서버 측 실행 문제에 대한 개념 증명 (proof of concept) 단계를 넘어서서 (즉, SQL Server에 대한 sysadmin 액세스 권한이 있음을 입증하면

금지 된 보안 연구 방법

보안 연구원이 서비스 범위 내에서 연구 범위를 이해하는 데 도움을주기 위해 다음 방법을 사용할 수 없습니다.

직원들에 대한 피싱 또는 기타 사회 공학 공격을 시도합니다. 이 프로그램의 범위는 지정된 Microsoft Online Services의 기술 취약점으로 제한됩니다.
모든 종류의 서비스 거부 테스트.
상당한 양의 트래픽을 생성하는 서비스의 자동화 된 테스트를 수행합니다.
전적으로 귀하의 데이터가 아닌 모든 데이터에 액세스하십시오. 예를 들어 교차 계정 또는 교차 거주자 데이터 액세스를 시연하고 입증하기 위해 적은 수의 테스트 계정 및 / 또는 시험용 세입자를 만들 수 있으며이를 권장합니다. 그러나 이러한 계정 중 하나를 사용하여 합법적 인 고객 또는 계정의 데이터에 액세스하는 것은 금지됩니다.
이러한 금지에도 불구하고 Microsoft는 악의적 인 것으로 보이는 네트워크상의 모든 작업에 응답 할 수있는 권한을 보유합니다. 의심 스러울 때, 우리의 서비스를 사용하는 고객에게 미칠 수있는 영향을 고려하고 그들의 경험과 데이터를 크게 존중하십시오.

마이크로 소프트 신원 파악을위한 부적절한 제출물은 무엇입니까? 현상금 프로그램의 목적은 사용자와 사용자의 데이터 보안에 직접적이고 명백한 영향을 미치는 심각한 취약점을 밝히는 것입니다. Google 서비스의 보안 취약점을 설명하는 제출을 권장하지만 다음은 현상금 보상을받지 못하는 취약점의 예입니다. 사용자 제작 콘텐츠 또는 응용 프로그램의 취약점. Man in-the-middle (MiTM) 공격을 허용하기 위해 저장소 계정에서 HTTP 액세스를 활성화하는 것과 같이 사용자가 서비스를 잘못 구성하는 보안. 누락 된 HTTP 보안 헤더 (예 : X-FRAME-OPTIONS) 또는 쿠키 보안 플래그 (예 : "httponly") IP, 서버 이름 및 대부분의 스택 추적과 같은 서버 측 정보 유출 서비스 거부 문제 희박한 사용자 작업을 요구하는 취약점 타사 및 고객의 하위 도메인 인수 Microsoft 및 광범위한 보안 커뮤니티에 이미 알려진 공개적으로 공개 된 취약점 갤러리 이미지 및 ISV 응용 프로그램과 같이 Azure에서 제공하는 타사 소프트웨어의 취약점 지원되지 않는 브라우저 및 플러그인에만 영향을주는 웹 응용 프로그램의 취약점 사용자 또는 세입자의 존재를 열거하거나 확인하는 데 사용되는 취약점