微软赏金计划登上微软安全响应中心百强榜单.PDF

微软赏金计划: 登上微软安全响应中心百强榜单 Jason Shirk 微软安全响应中心 jason.shirk@ 关于我 •  我从内心里是名黑客 –  约有20年的时间都当做业余爱好 –  直到最近10年, 才成为我的职业 o  负责微软的fuzzing战略跟工具包计划达3年时间 o  多年的软件开发支持跟渗透测试经验 •  在Bing担任过4年的隐私安全架构师 •  目前担任微软安全响应中心的安全战略负责人, 业务内容包括: –  Bug 赏金计划 –  推广到安全社群 –  安全会议赞助 –  与黑客们打交道 •  已婚, 有四个娃, 爱钓鱼 BUG 赏金计划 Bug 赏金计划 •  bug 赏金计划设定了bug的确认标准以及相应的报酬金额 –  尽管任何种类的bug都在这个计划中, 但目前的重点还是在安全漏洞上 •  另外, 还有这么些地方, 提供针对软件和服务Bug的赏金, 包括 –  这些写代码的厂商(微软, 谷歌, Facebook, 雅虎 etc…) –  这些写代码厂商的代理们(BugCrowd, HackerOne, SynAck, etc…) –  使用这些厂商代码的厂商们(Internet Bug Bounty, Github, etc…) Bug 赏金计划 – 这个新兴行业的行业标准 Company Launch $ Range Mozilla July 2010 $500-$3k Google Nov 2010 $100-$20k Facebook July 2011 $500-no maximum Microso April 2012 $500-$100K PayPal June 2012 $750-$10k Yahoo July 2013 $50-$15k GitHub Jan 2014 $100-$5k+ 微软Bug 赏金计划 •  中心思想 –  一个快速迭代且能持续进行的计划, 作为一般安全报告跟其他安全工程工作的补充 –  维持与第一线安全研究人员的紧密接触, 充分利用他们的专业知识, 以更好的保护客户 •  赏金计划类型 –  持续性类型 – 长期且持续的方案 –  特定目标类型 – 有时限的方案, 例如在某个测试版发布期间 –  混合类型 – 特定时间方案, 特别针对使用某种技术来寻找新的, 有影响力的, 或特别让人感兴趣的 目标的bug. 微软赏金计划的前世今生 •  *NEW* .NET Core and ASP.NET Beta/RC Bounty •  Online Services Bug Bounty Program （正在进行) –  Double Bounty Bonus for Authencaon Bugs (10月5 日结束) •  Migaon Bypass Bounty (正在进行) •  Bounty for Defense (正在进行) •  Microso Edge Beta Bounty Program (已结束) •  IE 11 Beta Bounty Program (已结束) •  BlueHat Prize ( 已结束