Skip to main content

Teilnahmebedingungen für das Bug-Bounty-Programm für Microsoft .NET Core und ASP.NET Core

BESCHREIBUNG DES PROGRAMMS

Wir freuen uns, ein fortlaufendes Bug-Bounty-Programm für .NET Core und ASP.NET Core ankündigen zu können, das am 1. September 2016 startet. Für die Dauer des Programms möchten wir Sie einladen, über E-Mail an secure@microsoft.com Sicherheitsrisiken zu melden, die Sie in den neuesten Release Candidates oder der RTM-Version von .NET Core und ASP.NET Core unter Windows, Linux und Mac OS gefunden haben. Sie können die aktuelle RTM-Version und die nachfolgenden Betaversionen unter https://dot.net/ installieren.

Qualifizierte Meldungen können mit $ 500-$ 15.000 prämiert werden, je nach Qualität und Komplexität des Sicherheitsrisikos, was von Microsoft bestimmt wird. Meldungen von extrem hoher Qualität werden nach unserem eigenen Ermessen möglicherweise mit mehr als $ 15.000 prämiert.

WORAUS BESTEHT EINE PRÄMIENBERECHTIGTE MELDUNG?

Damit Ihre Meldungen prämienberechtigt sind, müssen sie die folgenden Kriterien erfüllen:

  • Ihr Bericht muss ein originales und zuvor noch nicht berichtetes Sicherheitsrisiko in der aktuellen RTM-Version oder in unterstützten Beta- oder RC-Releases der aktuellen Versionen von Microsoft .NET Core, ASP.NET Core und der Standard-ASP.NET Core-Vorlagen identifizieren, die mit der ASP.NET Webtools-Erweiterung für Visual Studio 2015 oder höher bereitgestellt werden.
  • Beispiele für Sicherheitsrisiken können das Umgehen des CSRF-Schutzes, Codierung, Datenschutzfehler, Informationsoffenlegungen gegenüber Kunden, Authentifizierungsumgehungen sowie Remotecodeausführung umfassen.
  • Das Sicherheitsrisiko muss in der aktuellen RTM-Version oder in unterstützten Beta- oder RC-Releases oberhalb der aktuellen RTM-Version sowohl gemeldet als auch auf diese reproduziert werden.
  • Damit das Sicherheitsrisiko schnell reproduziert werden kann, bitten wir Sie, eine vollständige und leicht verständliche Anleitung in Ihre Meldung einzuschließen, um das Sicherheitsrisiko zu reproduzieren. Wie in der folgenden Prämientabelle dargestellt, begünstigen hochqualitative Anleitungen höhere Prämien.

Jede Meldung, die diese Kriterien nach dem Ermessen von Microsoft nicht erfüllt, kann abgelehnt werden.

WIE WERDEN ZAHLUNGSBETRÄGE FESTGELEGT?

  • Prämien zwischen $ 500-$ 15.000 werden nach dem Ermessen von Microsoft basierend auf der Qualität und der Komplexität des Sicherheitsrisikos ausgezahlt. Microsoft bestimmt nach eigenem Ermessen, welche Meldungen als qualifiziert eingestuft werden.
  • Wenn wir mehrere Fehlerberichte zum gleichen Problem von unterschiedlichen Parteien erhalten, wird die erste Meldung prämiert, basierend auf den oben genannten Kriterien.
  • Wenn ein doppelter Bericht neue Informationen bietet, die Microsoft zuvor nicht bekannt waren, wird der doppelten Meldung eine Teilprämie zugesprochen.
  • Der erste externe Bericht über ein intern bekanntes Problem wird mit maximal $ 1.500 prämiert.
  • Wenn Sie keine Prämie für Ihre Meldung eines Sicherheitsrisikos erhalten möchten, freut sich Microsoft, die Prämie in Absprache mit Ihnen an eine anerkannte Wohltätigkeitsorganisation zu spenden.

Die Prämienspanne für prämienberechtigte Meldungen basiert auf Folgendem:

SicherheitsrisikotypProof of ConceptFunktionierender ExploitQualität des Whitepapers/BerichtsAuszahlungsbereich (USD)
RemotecodeausführungErforderlichErforderlichHochBis zu $ 15.000
ErforderlichNeinHochBis zu $ 6.000
ErforderlichNeinNiedrigBis zu $ 1.500
Schwachpunkt im SicherheitsentwurfErforderlichErforderlichHochBis zu $ 10.000
ErforderlichOptionalHochBis zu $ 5.000
ErforderlichNeinNiedrigBis zu $ 1.500
RechteerweiterungenErforderlichErforderlichHochBis zu $ 10.000
ErforderlichNeinNiedrigBis zu $ 5.000
Remote-DoSErforderlichOptionalHochBis zu $ 5.000
ErforderlichNeinNiedrigBis zu $ 2.500
Manipulationen/SpoofingErforderlichOptionalHochBis zu $ 5.000
ErforderlichNeinNiedrigBis zu $ 2.500
InformationslecksErforderlichOptionalHochBis zu $ 2.500
ErforderlichNeinNiedrigBis zu $ 750
Vorlage CSRF oder XSSErforderlichOptionalHochBis zu $ 2.000
ErforderlichOptionalNiedrigBis zu $ 500

*Höhere Auszahlungen sind möglich und werden nach dem Ermessen von Microsoft basierend auf der Qualität und Komplexität des Beitrags getätigt.

WAS MACHT EINE NICHT PRÄMIENBERECHTIGTE MELDUNG AUS?

Das Ziel des Bug-Bounty-Programms ist das Aufdecken signifikanter Sicherheitsrisiken, die eine direkte und nachweisbare Auswirkung auf die Sicherheit unserer Benutzer und deren Daten haben. Wir fördern jegliche Meldungen, die Sicherheitsrisiken in ASP.NET beschreiben. Im Folgenden finden Sie Beispiele für Sicherheitsrisiken, für die Sie im Rahmen dieses Programms keine Prämie erhalten:

  • Öffentlich bekanntgegebene Sicherheitsrisiken, die Microsoft und der breiten Sicherheitscommunity bereits bekannt sind
  • Sicherheitsrisiken in benutzergeneriertem Inhalt
  • Sicherheitsrisiken, die umfangreiche oder unwahrscheinliche Benutzeraktionen erfordern
  • Sicherheitsrisiken, die integrierte Entschärfungsmechanismen deaktivieren oder nicht verwenden
  • CSRF-Fehler mit geringer Auswirkung
  • Offenlegung von Informationen auf Serverseite
  • Sicherheitsrisiken in Plattformtechnologien, die nicht nur .NET Core oder ASP.NET Core betreffen (z.B. IIS, OpenSSL usw.)

Wir behalten uns das Recht vor, jede Meldung abzulehnen, die nach unserem eigenen Ermessen unter eine dieser Sicherheitsrisikokategorien fällt, selbst wenn sie andernfalls prämienberechtigt wäre.

ZEITACHSEN FÜR DAS BUG-BOUNTY-PROGRAMM FÜR .NET und ASP.NET

ProgrammnameStartdatumEnddatumLink zur Ankündigung
CoreCLR und ASP. NET 5 Technical Preview Bounty20. Oktober 201520. Januar 2016 https://blogs.msdn.microsoft.com/webdev/2015/10/20/net-core-and-asp-net-launches-a-beta-bug-bounty-program/
NET Core und ASP.NET Core RC2 Bug Bounty7. Juni 20167. September 2016 https://blogs.msdn.microsoft.com/webdev/2016/06/07/announcing-a-new-net-and-asp-net-core-bug-bounty/
Microsoft .NET Core and ASP.NET Core Bug Bounty1. September 2016Fortlaufend https://blogs.msdn.microsoft.com/webdev/2016/09/01/announcing-the-ongoing-bug-bounty-for-net-core-and-asp-net-core/

HÄUFIG GESTELLTE FRAGEN UND PROGRAMMANFORDERUNGEN FÜR DAS BUG-BOUNTY-PROGRAMM

Es liegt in Ihrer Verantwortung, die unter den häufig gestellten Fragen aufgelisteten umfassenden Teilnahmebedingungen für das Microsoft-Bounty-Programm einzuhalten. Unter den häufig gestellten Fragen zum Microsoft-Bounty-Programm finden Sie genaue Anleitungen zu Folgendem:

  1. Melden von Fehlern an Microsoft
  2. Microsofts Selektierungs- und Bezahlprozess
  3. Teilnahmekriterien
  4. Richtlinien für die Prämienzahlungen
  5. Ihre Verpflichtungen hinsichtlich der Vertraulichkeit
  6. Microsofts Datenschutzrichtlinie und rechtliche Hinweise
  7. Weitere Fragen zu den verschiedenen Microsoft-Bounty-Programmen

Vielen Dank für Ihre Teilnahme am Microsoft-Bug-Bounty-Programm!

MSRC-Blog

Teilnahmebedingungen für das Bug-Bounty-Programm für Microsoft .NET Core und ASP.NET Core

SRD-Blog

Teilnahmebedingungen für das Bug-Bounty-Programm für Microsoft .NET Core und ASP.NET Core