微软现在将向报告.NET漏洞的用户支付高达40000美元的报酬

今日快讯 2025年08月04日 14:52 0 admin

许多公司提供漏洞赏金计划，鼓励人们搜索并发现软件中的安全漏洞，并私下向供应商报告，以便在恶意攻击者利用漏洞之前实施并应用修复程序。安全研究人员和其他公众会获得金钱奖励，从而获得经济激励。现在，微软已宣布对其 .NET Bounty 计划进行重大更新。

奖励金额现从 7000 美元起，最高可达令人垂涎的 40000 美元。请注意，最高奖励仅适用于私下披露远程代码执行 (RCE) 或特权提升 (EoP) 漏洞，并提供完整文档且造成严重影响的情况。

各奖励等级的细分如下：

安全影响	报告质量	批判的	重要的
远程代码执行	完整的	4万美元	3万美元
未完成	2万美元	2万美元
权限提升	完整的	4万美元	10，000美元
未完成	2万美元	4，000美元
安全功能绕过	完整的	3万美元	10，000美元
未完成	2万美元	4，000美元
远程拒绝服务	完整的	2万美元	10，000美元
未完成	15，000美元	4，000美元
欺骗或篡改	完整的	10，000美元	5，000 美元
未完成	7，000美元	3，000 美元
信息披露	完整的	10，000美元	5，000 美元
未完成	7，000美元	3，000 美元
文档或文档中包含的样本是不安全的或鼓励不安全的，并且不被描述为不考虑安全性的样本	完整的	10，000美元	5，000 美元
未完成	7，000美元	3，000 美元

值得注意的是，.NET 赏金计划主要围绕 .NET 和ASP.NET Core 展开，包括 Blazor 和 Aspire。但新的产品类别现在涵盖了所有受支持的 .NET 和ASP.NET版本、适用于 .NET Framework 的ASP.NET Core、上述内容提供的模板、其存储库中的 GitHub Actions 以及 F# 等相关技术。

更新后的奖励结构确保了严重性等级的明确定义，以便高影响的问题获得更高的奖励，同时还提供了关于如何将报告视为“完整”的指南。您可以在微软的专门博客文章中找到更多信息。