Skip to main content

Termos do Programa de Recompensa por Descoberta de Bugs do Microsoft .NET Core e ASP.NET Core

DESCRIÇÃO DO PROGRAMA

Temos o prazer de anunciar um programa contínuo de recompensa por descoberta de bugs do .NET Core e ASP.NET Core, com início em 1º de setembro de 2016. Durante o programa, convidamos você a enviar um email para secure@microsoft.com com as vulnerabilidades encontradas nas últimas versões Release Candidate ou na versão RTM do .NET Core e do ASP.NET Core em execução no Windows, Linux e MacOS. Instale a versão RTM atual e as versões beta posteriores em https://dot.net/.

Os envios qualificados são qualificados para pagamentos de US$ 500 a US$15.000, dependendo da qualidade e complexidade da vulnerabilidade, conforme determinado pela Microsoft. Para envios de extremamente alta qualidade, podemos oferecer mais de US$ 15.000, a nosso critério exclusivo.

O QUE CONSTITUI UM ENVIO QUALIFICADO?

Para se qualificar para um pagamento, seus envios devem atender aos seguintes critérios:

  • O relatório deve identificar uma vulnerabilidade original e não relatada anteriormente na última versão RTM ou nas versões Beta ou RC com suporte das últimas versões do Microsoft .NET Core, ASP.NET Core e os modelos padrão do ASP.NET Core fornecidos com a Extensão de Ferramentas da Web do ASP.NET para Visual Studio 2015 ou posterior.
  • Os exemplos de vulnerabilidades poderão ignorar a proteção contra CSRF, Codificação, falhas de Proteção de Dados, divulgações de Informações a um cliente, bypasses de Autenticação e Execução Remota de Código.
  • A vulnerabilidade deve ser enviada e reproduzida na última versão RTM ou nas versões Beta ou RC com suporte acima da versão RTM atual.
  • Para facilitar a reprodução rápida da vulnerabilidade, solicitamos que você inclua instruções completas e de fácil entendimento a fim de reproduzirmos a vulnerabilidade. Como mostra a tabela de pagamentos abaixo, instruções de alta qualidade admitem um pagamento de recompensa mais alto.

A Microsoft poderá rejeitar qualquer envio que ela determine não atender a esses critérios, a seu critério exclusivo.

COMO AS QUANTIAS DE PAGAMENTO SÃO DEFINIDAS?

  • As recompensas que variam de US$ 500 a US$ 15.000 serão pagas a critério da Microsoft de acordo com a qualidade e complexidade da vulnerabilidade. A Microsoft retém critério exclusivo ao determinar quais envios são qualificados.
  • Se recebermos vários relatórios de bugs para o mesmo problema de partes diferentes, a recompensa será concedida ao primeiro envio, de acordo com os critérios mencionados acima
  • Caso um relatório duplicado forneça novas informações anteriormente desconhecidas pela Microsoft, forneceremos um diferencial para o envio duplicado
  • O primeiro relatório externo recebido sobre um problema conhecido internamente receberá, no máximo, US$ 1.500.
  • Caso você não deseje receber um pagamento de recompensa pelo envio da vulnerabilidade, a Microsoft terá o prazer de trabalhar com você para doá-la a uma instituição de caridade aprovada.

A faixa de pagamento para os envios qualificados será baseada no seguinte:

Tipo de vulnerabilidadeProva de conceitoExploração FuncionalQualidade do White Paper/RelatórioFaixa de pagamento (USD)
Execução Remota de CódigoNecessáriaNecessáriaAltaAté US$ 15.000
NecessáriaNãoAltaAté US$ 6.000
NecessáriaNãoBaixoAté US$ 1.500
Falha de Design de SegurançaNecessáriaNecessáriaAltaAté US$ 10.000
NecessáriaOpcionalAltaAté US$ 5.000
NecessáriaNãoBaixoAté US$ 1.500
Elevação de PrivilégioNecessáriaNecessáriaAltaAté US$ 10.000
NecessáriaNãoBaixoAté US$ 5.000
DoS RemotoNecessáriaOpcionalAltaAté US$ 5.000
NecessáriaNãoBaixoAté US$ 2.500
Violação/FalsificaçãoNecessáriaOpcionalAltaAté US$ 5.000
NecessáriaNãoBaixoAté US$ 2.500
Perda de InformaçõesNecessáriaOpcionalAltaAté US$ 2.500
NecessáriaNãoBaixoAté US$ 750
CSRF ou XSS do ModeloNecessáriaOpcionalAltaAté US$ 2.000
NecessáriaOpcionalBaixoAté US$ 500

*Pagamentos mais altos são possíveis, a critério exclusivo da Microsoft, com base na complexidade e qualidade de entrada

O QUE CONSTITUI UM ENVIO NÃO QUALIFICADO?

O objetivo do programa de recompensa por descoberta de bugs é descobrir vulnerabilidades significativas que têm um impacto direto e demonstrável sobre a segurança e os dados de nossos usuários. Embora incentivemos os envios que descrevem as vulnerabilidades de segurança do ASP.NET, estes são exemplos de vulnerabilidades que não receberão uma recompensa nos termos deste programa:

  • Vulnerabilidades divulgadas publicamente já conhecidas pela Microsoft e pela comunidade de segurança mais ampla
  • Vulnerabilidades em conteúdo gerado pelo usuário
  • Vulnerabilidades que exigem ações do usuário que sejam abrangentes ou improváveis
  • Vulnerabilidades que desabilitam ou que não usam nenhum mecanismo de mitigação interno
  • Bugs de CSRF de baixo impacto
  • Divulgação de informações do servidor
  • Vulnerabilidades em tecnologias de plataforma não exclusivas do .NET Core ou ASP.NET Core (por exemplo, IIS, OpenSSL, etc.)

Reservamos o direito de rejeitar qualquer envio que determinarmos, a nosso critério exclusivo, pertencer a uma dessas categorias de vulnerabilidades, mesmo que seja, de outro modo, qualificado para uma recompensa.

LINHAS DO TEMPO DE PROGRAMA DE RECOMPENSA POR DESCOBERTA DE BUGS DO .NET E ASP.NET

Nome do ProgramaData de inícioData de TérminoLink do Comunicado
CoreCLR e ASP. Recompensa para o NET 5 Technical Preview20 de outubro de 201520 de janeiro de 2016 https://blogs.msdn.microsoft.com/webdev/2015/10/20/net-core-and-asp-net-launches-a-beta-bug-bounty-program/
Recompensa por Descoberta de Bugs do .NET Core e ASP.NET Core RC27 de junho de 20167 de setembro de 2016 https://blogs.msdn.microsoft.com/webdev/2016/06/07/announcing-a-new-net-and-asp-net-core-bug-bounty/
Recompensa por Descoberta de Bugs do Microsoft .NET Core e ASP.NET Core1º de setembro de 2016Contínuo https://blogs.msdn.microsoft.com/webdev/2016/09/01/announcing-the-ongoing-bug-bounty-for-net-core-and-asp-net-core/

PERGUNTAS FREQUENTES E REQUISITOS DO PROGRAMA DE RECOMPENSA

É sua responsabilidade estar em conformidade com os Termos Abrangentes –Programa de Recompensa da Microsoft listados nas Perguntas Frequentes. Confira as Perguntas Frequentes sobre o Programa de Recompensa da Microsoft para obter instruções detalhadas sobre:

  1. Relatório de bugs à Microsoft
  2. Processo de triagem e pagamento da Microsoft
  3. Critérios de qualificação para participação
  4. Políticas de pagamento de recompensa
  5. Suas obrigações de confidencialidade
  6. Política de privacidade e aviso legal da Microsoft
  7. Outras perguntas sobre os diversos programas de recompensa da Microsoft

Agradecemos sua participação no Programa de Recompensa por Descoberta de Bugs da Microsoft!

MSRC Blog

Termos do Programa de Recompensa por Descoberta de Bugs do Microsoft .NET Core e ASP.NET Core

SRD Blog

Termos do Programa de Recompensa por Descoberta de Bugs do Microsoft .NET Core e ASP.NET Core