DESCRIPCIÓN DEL PROGRAMA

El 20 de octubre de 2015, Microsoft anunció un programa de recompensas para las versiones Beta de .NET Core CLR y ASP.NET 5 que se distribuían con Visual Studio 2015. Este programa finalizó el 20 de enero de 2016 y, el 7 de junio de 2016, Microsoft anunció el sucesor del programa para incluir las compilaciones Beta de .NET Core y ASP.NET Core y cualquier versión RTM que se lanzase dentro del programa de recompensas. Personas de todo el mundo tienen la oportunidad de enviar las vulnerabilidades que encuentren en las últimas versiones candidatas para lanzamiento o en la versión RTM de .NET Core y ASP.NET Core que se ejecutan en Windows, Linux y MacOS. Los envíos que cumplan los requisitos pueden optar a una recompensa que oscila entre 500 y 15 000 USD. Microsoft determinará, a su entera discreción, quién recibirá la recompensa en función de la calidad y la complejidad de la vulnerabilidad. Microsoft puede pagar más de 15 000 USD, según la calidad y la complejidad.

¿QUÉ REQUISITOS DEBEN CUMPLIR LOS ENVÍOS?

Los informes sobre vulnerabilidades que se envíen a Microsoft (“envíos”) deben cumplir los siguientes criterios para que puedan optar a una recompensa:
  • Identificar una vulnerabilidad original que no se haya notificado antes en la última versión RC o RTM* de Microsoft .NET Core, ASP.NET Core y las plantillas predeterminadas de ASP.NET Core que se proporcionan con la extensión ASP.NET and Web Tools para Visual Studio 2015, o la documentación de soporte técnico y los ejemplos asociados.
    Los ejemplos pueden incluir omisiones de la protección CSRF, codificación, errores de protección de datos, divulgación de información a un cliente, omisiones de autenticación y la ejecución remota de código.
    *La vulnerabilidad debe reproducirse en la última versión RC o RTM para que se admita en el programa.
  • Incluir los pasos para reproducir la vulnerabilidad expuestos de forma breve y fácil de comprender. Esto permite procesar los envíos tan rápido como sea posible y favorece la obtención de la recompensa máxima por el tipo de vulnerabilidad notificado.
Microsoft puede rechazar cualquier envío si determina, a su entera discreción, que no cumple estos criterios.

¿CÓMO SE DETERMINAN LOS IMPORTES DE LOS PAGOS?

El intervalo de pagos para los envíos que cumplan los criterios se basa en los siguientes factores:
Calidad del informe o documento técnico
Intervalo de pagos (USD)
Ejecución remota de código
Obligatoria
Obligatoria
Alta
Hasta 15 000 USD
Obligatoria
No
Alta
Hasta 6000 USD
Obligatoria
No
Baja Hasta 1500 USD
Error de diseño de la seguridad
Obligatoria
No
Alta
Hasta 10 000 USD
Obligatoria
Opcional
Alta
Hasta 5000 USD
Obligatoria
No
Baja Hasta 1500 USD
Elevación de privilegios
Obligatoria
Obligatoria
Alta Hasta 10 000 USD
Obligatoria
No
Baja Hasta 5000 USD
Ataque DoS remoto
Obligatoria
Opcional
Alta Hasta 5000 USD
Obligatoria
No
Baja Hasta 2500 USD
Alteración/suplantación de identidad
Obligatoria
Opcional
Alta Hasta 5000 USD
Obligatoria
No
Baja Hasta 2500 USD
Filtración de información
Obligatoria
Opcional
Alta Hasta 2500 USD
Obligatoria
No
Baja Hasta 750 USD
CSRF o XSS de plantilla
Obligatoria
Opcional
Alta Hasta 2000 USD
Obligatoria
Opcional
Baja
500 USD
La documentación o los ejemplos que incluye son inseguros o promueven la inseguridad y no se describen como ejemplos que no tienen en cuenta la seguridad.
Obligatoria
Opcional
Alta
Hasta 1000 USD
Obligatoria
Opcional
Baja
Hasta 500 USD

*Microsoft, a su entera discreción, puede conceder pagos superiores en función de la calidad y la complejidad del envío.

¿QUÉ ENVÍOS NO SON APTOS PARA EL PROGRAMA?

 
El objetivo del programa de recompensas por la detección de errores es descubrir vulnerabilidades importantes que tengan un impacto directo y demostrable en la seguridad de nuestros usuarios y sus datos. Aunque animamos a que se nos envíen todos los informes que describan vulnerabilidades de seguridad en ASP.NET, los siguientes son algunos ejemplos de vulnerabilidades que no obtendrán ningún premio de recompensa en este programa:
 
  • Vulnerabilidades que se han divulgado públicamente y que tanto Microsoft como la amplia comunidad de expertos en seguridad ya conocen.
  • Vulnerabilidades en cualquier versión que sea anterior a las versiones Beta públicas actuales de .NET Core y ASP.NET.
  • Vulnerabilidades en versiones de ASP.NET que ya se han lanzado.
  • Vulnerabilidades en contenido generado por el usuario.
  • Vulnerabilidades que requieren una acción extensa o improbable del usuario.
  • Vulnerabilidades que deshabiliten o no utilicen los mecanismos de mitigación integrados.
  • Errores de CSRF de bajo impacto.
  • Divulgación de información del lado servidor.
  • Vulnerabilidades en tecnologías de la plataforma que no son exclusivas de .NET Core o ASP.NET (por ejemplo, IIS, OpenSSL, etc.).
Nos reservamos el derecho a rechazar cualquier envío si determinamos, a nuestra entera discreción, que entra dentro de alguna de estas categorías de vulnerabilidades, incluso si puede optar a una recompensa de otro modo.

¿CÓMO DEBO PROPORCIONAR MI ENVÍO?

Puede instalar .NET Core desde la dirección 
https://www.microsoft.com/net/download
y el origen está disponible en
https://github.com/dotnet
 y 
https://github.com/aspnet

Envíe su trabajo completo a Microsoft usando el portal de envíos del MSRC, siguiendo las directrices para el envío de informes de errores. Debe seguir el principio de divulgación de vulnerabilidades coordinada cuando notifique todas las vulnerabilidades. Haremos un esfuerzo razonable por aclarar los envíos que sean indescifrables o estén incompletos.   

¿Tiene preguntas? Siempre estamos disponibles en la dirección secure@microsoft.com. 

PAGO DE RECOMPENSAS:

Microsoft pagará las recompensas a su entera discreción, según la calidad y la complejidad de la vulnerabilidad. Solo Microsoft puede determinar, a su entera discreción, qué envíos cumplen los requisitos. Solo Microsoft puede determinar, a su entera discreción, qué envíos cumplen los requisitos. La recompensa para un envío admisible oscila entre 500 y 15 000 USD. No hay restricciones en cuanto al número de envíos admisibles que puede realizar una persona y por los que puede recibir una recompensa. Si recibimos varios informes de error de diferentes autores sobre el mismo problema, la recompensa se le concederá al primero que lo envíe.

AVISO LEGAL

Aquí puede consultar más información sobre las directrices legales de Microsoft.
 

Gracias por participar en el programa de recompensas de Microsoft por la detección de errores.

Historial de revisiones

  • 16 de octubre de 2018: Actualización para incluir los vínculos al origen en Github.