프로그램 설명 

Microsoft Azure는 조직이 선호하는 도구와 프레임워크를 사용하여 대규모 글로벌 네트워크에서 애플리케이션을 빌드, 관리 및 배포하는 데 도움이 되는 클라우드 컴퓨팅 서비스 집합으로, 점점 확장되고 있습니다. Microsoft Azure 장려금 프로그램은 Azure 제품 및 서비스의 취약성을 확인하여 Microsoft 팀과 공유하도록 전 세계의 연구원을 초대합니다. 적격 제출은 $500~$40,000(USD)의 장려금을 받을 수 있습니다.

이 장려금 프로그램에는 이 약관과 Microsoft 장려금 계약조건에 나와 있는 약관이 적용됩니다. 

범위 내 서비스 및 제품 

Azure 제품에 대해 제출된 취약성은 대부분 이 프로그램이나 관련된 Microsoft 장려금 프로그램에 적합합니다. 아래에는 우선 순위가 높은 몇 가지 Azure 제품과 적절한 시작점이 나와 있습니다.

우선 순위가 높은 Azure 제품  

장려금 보상 범위에 포함된 Azure 제품의 전체 목록을 보려면 여기를 참조하세요. 

관련된 클라우드 장려금 프로그램 

Office 365, Microsoft 계정, Azure DevOps 및 기타 온라인 서비스의 취약성을 확인하는 제출은 Online Services 장려금 프로그램, Microsoft ID 장려금 프로그램, Azure DevOps 장려금 프로그램 또는 Microsoft Dynamics 365 장려금 프로그램을 비롯한 서비스별 또는 제품별 클라우드 장려금 프로그램에서 고려됩니다. 모든 제출의 장려금 자격을 검토하므로, 제출에 해당하는 프로그램을 몰라도 걱정하실 필요가 없습니다. Microsoft에서 신고서를 해당 프로그램으로 라우팅합니다. 

시작 

보안 테스트 및 검색에 사용할 테스트 계정과 테스트 테넌트를 만드세요. 

  • Azure 서비스의 경우 여기에서 테스트 계정으로 사용할 평가판을 시작한 다음, 개발자용 시작 가이드Azure 문서 사이트에서 Azure에 대해 자세히 알아볼 수 있습니다. 
  • Microsoft 계정의 경우 여기에서 테스트 계정을 설정할 수 있습니다. 

가능한 경우 항상, 계정 이름 및/또는 테넌트 이름에 “MSOBB” 문자열을 포함하여 보안 연구용으로 구별합니다. 

AZURE 보안 랩 시나리오 챌린지 

Azure 보안 랩 시나리오 챌린지에서는 클라우드의 영향력이 높은 취약성을 연구하는 데 필요한 도구로 보안 연구원을 더 잘 무장시키기 위해 추가 콘텐츠와 리소스를 제공합니다. Azure 보안 랩 페이지에서 진행 중인 챌린지를 참조하세요.

장려금 설정 방법 

장려금은 $500에서 최대 $40,000입니다. 취약성의 심각도 및 영향과 제출 품질을 기준으로 Microsoft의 단독 판단에 따라 더 많은 금액의 장려금이 지급될 수 있습니다. 장려금을 받을 수 없는 제출을 제공하는 연구원도 제출 내용을 통해 취약성이 수정될 경우 공개적으로 인정을 받을 수 있습니다. 

보안 영향

신고서 품질

심각도

심각

중요

보통

낮음

원격 코드 실행

높음

중간

낮음

$40,000

$20,000

$10,000

$30,000

$20,000

$10,000

$0

$0

권한 상승

높음

중간

낮음

$40,000

$30,000

$20,000

$10,000

$4,000

$2,000

$0

$0

정보 공개

높음

중간

낮음

$12,000

$6,000

$4,500

$7,500

$3,000

$1,500

$0

$0

스푸핑

높음

중간

낮음

N/A

$3,000

$1,200

$500

$0

$0

변조

높음

중간

낮음

N/A

$3,000

$1,200

$500

$0

$0

서비스 거부

높음/낮음

범위 외

해당 없음: 나열된 보안 영향이 발생하는 취약성이 이 심각도 범주에 해당하지 않습니다. 

높은 품질의 신고서는 엔지니어가 문제를 빠르게 재현, 파악 및 해결하는 데 필요한 정보를 제공합니다. 이렇게 하려면 일반적으로 필요한 배경 정보, 버그 설명, 연결된 PoC(개념 증명)가 포함된 간결한 문서나 동영상을 포함합니다. 여기에서 높은 품질과 낮은 품질의 신고서 샘플을 확인할 수 있습니다. 

일부 문제는 재현 및 파악하기가 매우 어렵다는 것을 인정하며, 제출 품질을 평가할 때 고려됩니다. 

범위 내 취약성 

다음은 위의 보안 영향 중 하나 이상이 발생할 수 있는 취약성의 예입니다. 

  • XSS(교차 사이트 스크립팅) 
  • CSRF(교차 사이트 요청 위조) 
  • 교차 테넌트 데이터 변조 또는 액세스 
  • 안전하지 않은 직접 개체 참조 
  • 안전하지 않은 deserialization 
  • 삽입 취약성 
  • 서버 쪽 코드 실행 
  • 잘못된 중요 보안 구성(사용자로 인해 발생한 경우 제외) 
  • 알려진 취약성이 있는 구성 요소 사용 
    • 악용 가능성의 완전한 PoC(개념 증명)가 필요합니다. 예를 들어 단순히 오래된 라이브러리를 확인하는 것만으로는 장려금을 받을 수 없습니다.

적격 제출의 조건 

Microsoft 버그 장려금 프로그램의 목표는 고객의 보안에 직접적이고 시연 가능한 영향을 주는 중요한 취약성을 파악하는 것입니다. 취약성 제출의 경우 다음 조건을 충족해야 장려금을 받을 수 있습니다. 

  • 이전에 Microsoft에 신고되지 않았거나 달리 Microsoft에서 알지 못하는 취약성을 식별합니다.
  • 해당 취약성은 이전에 신고되지 않은 위험 또는 중요 심각도여야 하고 범위 내 제품 또는 서비스 중 하나에서 재현되는 것이어야 합니다.
  • 명확하고 간결하며 재현 가능한 단계를 문서나 동영상 형식으로 포함합니다.
    • 문제를 빠르게 재현, 파악 및 해결하는 데 필요한 정보를 엔지니어에게 제공합니다.  

Microsoft는 위의 조건을 충족하지 않는다고 확인된 모든 제출을 단독 판단에 따라 수락하거나 거부할 수 있습니다. 

장려금을 받을 수 있는 MICROSOFT ONLINE SERVICES 테스트를 규정하는 규칙 

Azure 장려금 프로그램의 범위는 Azure 관련 제품 및 서비스의 기술 취약성으로 제한됩니다. 다음은 허용되지 않습니다.

  • 모든 종류의 서비스 거부 테스트
  • 상당한 양의 트래픽을 생성하는 자동화된 서비스 테스트 수행 
  • 소유하지 않은 데이터 액세스. 예를 들어 계정 간 또는 테넌트 간 데이터 액세스를 시연하고 증명할 목적으로 소수의 테스트 계정 및/또는 평가판 테넌트를 만들 수 있으며 이러한 작업은 장려됩니다. 그러나 이러한 계정 중 하나를 사용하여 합법적인 고객이나 계정의 데이터에 액세스하는 것은 허용되지 않습니다. 
  • 서버 쪽 실행 문제에 대해 “개념 증명” 재현 단계 이상의 활동(예: SQLi를 사용하여 sysadmin 액세스 권한이 있음을 증명할 수 있지만 xp_cmdshell을 실행할 수는 없음) 
  • Microsoft 직원을 비롯한 다른 사람에 대한 피싱 또는 기타 소셜 엔지니어링 공격 시도. 이 프로그램의 범위는 지정된 Microsoft Online Services의 기술 취약성으로 제한됩니다. 
  • 서비스의 사용 약관을 위반하는 방식의 서비스 사용 

이러한 금지 사항과 별도로, Microsoft는 악의적인 것으로 보이는 모든 네트워크 활동에 대응할 수 있는 권리가 있습니다. 

범위 외의 제출 및 취약성 

Microsoft는 사례별로 모든 제출을 받고 검토하지만, 일부 제출과 취약성 유형은 장려금 보상에 부적합할 수 있습니다. 다음은 일반적으로 장려금 보상을 받지 못하는 몇 가지 일반적인 낮은 심각도 또는 범위 외 문제입니다. 

  • Microsoft에 이미 신고되었거나 광범위한 보안 커뮤니티에 이미 알려져 있는 공개된 취약성
  • Microsoft에서 광범위한 완화를 적극적으로 조사하고 있는 취약성 패턴 또는 범주. 2020년 8월 기준으로 예를 들어 다음을 포함하되, 이에 국한되지 않음
    • VSCode 확장을 이용하는 취약성
  • 다음을 비롯한 범위 외 취약성 유형:
    • 하드웨어 구성 요소에 대한 물리적 액세스가 필요한 취약성
    • URL 리디렉션(더 심각한 취약성을 생성하기 위해 다른 취약성과 결합하는 경우 제외)
    • 쿠키 재생 취약성 
    • 하위 도메인 인수 
    • 서비스 거부 문제
    • 영향이 낮은 CSRF 버그(예: 로그오프) 
    • 서버 쪽 정보(예: IP, 서버 이름, 대부분의 스택 추적 등) 공개 
  • 사용자 구성 또는 작업을 기반으로 하는 취약성. 예: 
    • 광범위하거나 발생 가능성이 없는 사용자 작업이 필요한 취약성 
    • 사용자가 만든 콘텐츠 또는 애플리케이션의 취약성 
    • MiTM(메시지 가로채기) 공격에 허용할 스토리지 계정에 대해 HTTP 액세스를 사용하도록 설정하는 등 사용자가 수행한 잘못된 서비스 보안 구성 
    • 누락된 HTTP 보안 헤더(예: X-FRAME-OPTIONS) 또는 쿠키 보안 플래그(예: “httponly”) 
    • 사용자 또는 테넌트의 존재를 확인하거나 열거하는 데 사용되는 취약성 
  • 타사를 기반으로 하는 취약성. 예: 
    • Azure에서 제공하는 타사 소프트웨어(예: 갤러리 이미지, ISV 애플리케이션)의 취약성 
    • 해당 온라인 서비스에 고유하지 않은 플랫폼 기술의 취약성(예: Apache 또는 IIS 취약성) 
  • 지원되지 않는 브라우저 및 플러그 인에만 영향을 주는 웹 애플리케이션의 취약성
  • Azure 제품 및 서비스와 관련된 교육, 문서, 샘플 및 커뮤니티 포럼 사이트는 “범위 내 도메인 및 엔드포인트”에 나열되지 않은 경우 장려금 수급 범위에 속하지 않음. 예:
    • azure.microsoft.com/en-us/services
    • docs.microsoft.com/en-us/azure
    • docs.microsoft.com/en-us/azure/*
    • docs.microsoft.com/en-us/cli/azure/*
    • github.com/Azure-Samples/
    • github.com/microsoft/iot-samples
    • azure.microsoft.com/en-us/resources/samples
    • feedback.azure.com/forums/*

Microsoft는 단독 판단에 따라 이러한 취약성 범주에 해당한다고 확인되면, 장려금을 받을 수 있는 경우에도 제출을 거부할 수 있는 권리가 있습니다. 

추가 정보

추가 정보는 FAQ를 참조하세요. 

Microsoft Azure 침투 테스트 중에 취약성을 발견할 경우 장려금 적격 여부

Microsoft 클라우드 통합 침투 테스트 참여 규칙을 준수하는 것은 사용자 책임입니다. 장려금을 받으려면 조직이나 개인이 MSRC 제출 포털버그 제출 지침을 사용하여 장려금 적격 취약성을 확인하는 신고서를 Microsoft에 제출해야 합니다.

Microsoft 버그 장려금 프로그램에 참여해 주셔서 감사합니다. 

수정 기록 

  • 2014년 9월: 프로그램을 시작했습니다. 
  • 2015년 4월: 프로그램 범위를 업데이트했습니다. 
  • 2015년 8월: 프로그램 범위를 업데이트하고 장려금 프로그램 이름을 Online Services에서 클라우드 장려금 프로그램으로 변경했습니다. 
  • 2018년 7월 17일: ID 관련 취약성을 Microsoft ID 장려금 프로그램으로 이동했습니다. (https://www.microsoft.com/msrc/bounty-microsoft-identity) 
  • 2018년 12월 7일: 프로그램 소개와 FAQ 링크를 업데이트하고 수정 기록 섹션을 추가했습니다. 
  • 2019년 1월 17일: 영향, 심각도 및 신고서 품질을 기준으로 장려금 범위를 업데이트했습니다. 범위 내 요약을 추가했습니다. 
  • 2019년 6월 17일: Online Services 장려금 프로그램에서 Azure 장려금 프로그램을 분리하고, 범위 내 Azure 서비스를 강조 표시했으며, 장려금 범위를 늘렸습니다. 교육, 문서, 샘플 및 커뮤니티 사이트를 범위 외로 이동했습니다. 침투 지침을 업데이트했습니다.
  • 2019년 8월 29일: Azure 보안 랩 시나리오를 명확하게 설명했습니다. DoS 시나리오에 “영구”를 추가하고 VM 이스케이프 시나리오에서 “다른 게스트 VM으로”를 제거했습니다.
  • 2019년 12월 26일: 나열된 엔드포인트가 예시임을 확인했습니다. https://azure.microsoft.com/en-us/services에 나열된 서비스는 이 프로그램 또는 관련 Microsoft 장려금 프로그램의 범위 안에 포함됩니다. online.visualstudio.com 을 예시 도메인으로 추가했습니다.
  • 2020년 1월 21일: 나열된 엔드포인트를 모두 제거했습니다. 대부분 Azure는 장려금 범위에 속합니다.
  • 2020년 2월 24일: Azure Sphere를 강조 표시된 범위 내 서비스에 추가했습니다. 
  • 2020년 5월 5일: Azure 보안 랩 콘텐츠를 독립 실행형 프로그램 페이지로 이전했습니다. 표준화된 장려금 프로그램 언어입니다.
  • 2020년 8월 24일: 범위 외 - VSCode 확장을 이용하는 취약성에 추가했습니다.