프로그램 설명

Microsoft Online Services 장려금 프로그램은 특정 Microsoft 도메인 및 엔드포인트의 취약성을 확인하여 제출하도록 전 세계의 연구원을 초대합니다. 적격한 제출은 $500~$20,000(USD)의 장려금 보상을 받을 수 있습니다.

취약성의 심각도 및 영향과 제출 품질을 기준으로 Microsoft의 판단에 따라 장려금이 지급되며, Microsoft 장려금 사용 약관 이 적용됩니다. 

범위 내 서비스 및 제품

다음 서비스에서 제출된 취약성은 대부분 이 장려금 프로그램에 적합합니다.

  • Office 365
  • Microsoft 계정

자세한 목록은 이 페이지의 범위 내 도메인 및 엔드포인트 섹션을 참조하세요.

관련된 클라우드 장려금 프로그램

Azure, Azure DevOps 또는 Microsoft ID 관련 온라인 서비스의 취약성을 확인하는 제출은 Azure 장려금 프로그램, Azure DevOps 장려금 프로그램, Microsoft Dynamics 365 장려금 프로그램 또는 Microsoft ID 장려금 프로그램에서 고려됩니다. 모든 제출의 장려금 자격을 검토하므로, 제출에 해당하는 프로그램을 몰라도 걱정하실 필요가 없습니다. Microsoft에서 신고서를 해당 프로그램으로 라우팅합니다. 

시작

보안 테스트 및 검색에 사용할 테스트 계정과 테스트 테넌트를 만드세요.

  • Office 365 서비스의 경우 여기에서 테스트 계정을 설정할 수 있습니다.
  • Microsoft 계정의 경우 여기에서 테스트 계정을 설정할 수 있습니다.
  • 여기에 제공된 문서 페이지에서 Office 365에 대해 자세히 알아보세요. 

가능한 경우 항상, 계정 이름 및/또는 테넌트 이름에 “MSOBB” 문자열을 포함하여 버그 장려금 프로그램용으로 구별합니다.

적격 제출의 조건

Microsoft 버그 장려금 프로그램의 목표는 고객의 보안에 직접적이고 시연 가능한 영향을 주는 중요한 기술 취약성을 파악하는 것입니다. 취약성 제출의 경우 다음 조건을 충족해야 장려금을 받을 수 있습니다.

  • 이전에 Microsoft에 신고되지 않았거나 달리 Microsoft에서 알지 못하는 취약성을 식별합니다.
  • 해당 취약성은 위험 또는 중요 심각도여야 하고 범위 내 제품 또는 서비스 중 하나에서 재현되는 것이어야 합니다.
  • 엔지니어링 팀이 문제를 빠르게 재현, 파악 및 수정하는 데 필요한 정보를 제공하는 명확하고 간결하며 재현 가능한 단계를 글이나 동영상 형식으로 포함합니다.
    • 여기에서 예를 확인하세요. 

Microsoft는 위의 조건을 충족하지 않는다고 확인된 모든 제출을 단독 판단에 따라 수락하거나 거부할 수 있습니다.

장려금 설정 방법 

장려금 수급 범위는 $500~$20,000입니다. 취약성의 심각도 및 영향과 제출 품질을 기준으로 Microsoft의 단독 판단에 따라 더 많은 금액이 지급될 수 있습니다. 장려금을 받을 수 없는 제출을 제공하는 연구원도 제출 내용을 통해 취약성이 수정될 경우 공개적으로 인정을 받을 수 있으며, 연구원 인정 프로그램에 표시됩니다. 

보안 영향

신고서 품질

심각도

심각

중요

보통

낮음

원격 코드 실행

높음

중간

낮음

$20,000

$15,000

$10,000

$15,000

$10,000

$5,000

$0

$0

권한 상승

높음

중간

낮음

$8,000

$4,000

$3,000

$5,000

$2,000

$1,000

$0

$0

정보 공개

높음

중간

낮음

$8,000

$4,000

$3,000

$5,000

$2,000

$1,000

$0

$0

스푸핑

높음

중간

낮음

N/A

$3,000

$1,200

$500

$0

$0

변조

높음

중간

낮음

N/A

$3,000

$1,200

$500

$0

$0

서비스 거부

높음/낮음

범위 외

해당 없음: 나열된 보안 영향이 발생하는 취약성이 이 심각도 범주에 해당하지 않습니다.

높은 품질의 신고서는 엔지니어가 문제를 빠르게 재현, 파악 및 해결하는 데 필요한 정보를 제공합니다. 이렇게 하려면 일반적으로 필요한 배경 정보, 버그 설명, 연결된 PoC(개념 증명)가 포함된 간결한 문서나 동영상을 포함합니다. 여기에서 높은 품질과 낮은 품질의 신고서 샘플을 확인할 수 있습니다.  

일부 문제는 재현 및 파악하기가 매우 어렵다는 것을 인정하며, 제출 품질을 평가할 때 고려됩니다.

범위 내 취약성 

다음은 위의 보안 영향 중 하나 이상이 발생할 수 있는 취약성의 예입니다. 

  • XSS(교차 사이트 스크립팅) 
  • CSRF(교차 사이트 요청 위조) 
  • 교차 테넌트 데이터 변조 또는 액세스 
  • 안전하지 않은 직접 개체 참조 
  • 안전하지 않은 deserialization 
  • 삽입 취약성 
  • 서버 쪽 코드 실행 
  • 잘못된 중요 보안 구성(사용자로 인해 발생한 경우 제외) 
  • 알려진 취약성 으로 구성 요소 사용 

범위 내 도메인 및 엔드포인트

다음 도메인과 엔드포인트의 경우에만 버그 장려금을 받을 수 있습니다. 범위 내 도메인의 하위 도메인도 범위 내에 있는 것으로 간주됩니다. 취약성 테스트는 프로그램 참가자가 소유한 구독/계정의 테넌트에서만 수행해야 합니다.

Microsoft의 소유권을 검증하려면 테스트 전에 확인된 모든 IP의 “WHOIS” 레코드를 검사하세요. Microsoft 소유 하위 도메인에 있는 일부 Microsoft용 타사 호스트 사이트와 타사는 이 버그 장려금 프로그램의 범위에 속하지 않습니다.

  • protection.office.com
  • onedrive.live.com
  • onedrive.com
  • manage.windowsazure.com
  • forms.office.com
  • portal.office.com
  • outlook.office365.com
  • outlook.office.com
  • outlook.live.com
  • outlook.com
  • sharepoint.com(사용자 생성 콘텐츠 제외)
  • lync.com
  • officeapps.live.com
  • yammer.com
  • sway.com
  • sway.office.com
  • tasks.office.com
  • teams.microsoft.com
  • asm.skype.com
  • msg.skype.com
  • skyapi.live.net
  • skype.com
  • storage.live.com
  • apis.live.net
  • settings.live.net
  • policies.live.net
  • join.microsoft.com

장려금 적격 MICROSOFT ONLINE SERVICES 테스트를 규정하는 규칙

Microsoft Online Services 장려금 프로그램의 범위는 온라인 제품 및 서비스의 기술 취약성으로 제한됩니다. 다음은 허용되지 않습니다.

  • 모든 종류의 서비스 거부 테스트
  • 상당한 양의 트래픽을 생성하는 자동화된 서비스 테스트 수행
  • 소유하지 않은 데이터 액세스. 예를 들어 계정 간 또는 테넌트 간 데이터 액세스를 시연하고 증명할 목적으로 소수의 테스트 계정 및/또는 평가판 테넌트를 만들 수 있으며 이러한 작업은 장려됩니다. 그러나 이러한 계정 중 하나를 사용하여 합법적인 고객이나 계정의 데이터에 액세스하는 것은 허용되지 않습니다.
  • 서버 쪽 실행 문제에 대해 “개념 증명” 재현 단계 이상의 활동(예: SQLi를 사용하여 sysadmin 액세스 권한이 있음을 증명할 수 있지만 xp_cmdshell을 실행할 수는 없음)
  • Microsoft 직원에 대한 피싱 또는 기타 소셜 엔지니어링 공격 시도. 이 프로그램의 범위는 지정된 Microsoft Online Services의 기술 취약성으로 제한됩니다.
  • 서비스의 사용 약관을 위반하는 방식의 서비스 사용

이러한 금지 사항과 별도로, Microsoft는 악의적인 것으로 보이는 모든 네트워크 활동에 대응할 수 있는 권리가 있습니다.

범위 외의 제출 및 취약성

MSRC는 사례별로 모든 제출을 받고 검토하지만, 일부 제출과 취약성 유형은 장려금 보상에 부적합할 수 있습니다. 다음은 일반적으로 장려금 보상을 받지 못하는 몇 가지 일반적인 낮은 심각도 또는 범위 외 문제입니다. 

  • Microsoft에 이미 신고되었거나 광범위한 보안 커뮤니티에 이미 알려져 있는 공개된 취약성
  • Microsoft에서 광범위한 완화를 적극적으로 조사하고 있는 취약성 패턴 또는 범주. 
  • 다음을 비롯한 범위 외 취약성 유형:
    • 서버 쪽 정보(예: IP, 서버 이름, 대부분의 스택 추적 등) 공개
    • 영향이 낮은 CSRF 버그(예: 로그오프)
    • 서비스 거부 문제
    • 하위 도메인 인수
    • 쿠키 재생 취약성
    • URL 리디렉션(더 심각한 취약성을 생성하기 위해 다른 취약성과 결합하는 경우 제외)
    • 대상 테넌트에서 “디자이너” 이상의 권한이 필요한 SharePoint의 “교차 사이트 스크립팅” 버그
  • 사용자 구성 또는 작업을 기반으로 하는 취약성. 예:
    • 광범위하거나 발생 가능성이 없는 사용자 작업이 필요한 취약성
    • 사용자가 만든 콘텐츠 또는 애플리케이션의 취약성
      • 예를 들어 *.sharepoint.com 도메인에서 테넌트가 모든 종류의 취약성을 포함하는 자체 html 페이지를 공개한 경우(즉, DOM 기반 XSS), 이 버그의 경우 장려금을 받을 수 없으며 취약성으로 수락되지 않습니다.
    • MiTM(메시지 가로채기) 공격에 허용할 스토리지 계정에 대해 HTTP 액세스를 사용하도록 설정하는 등 사용자가 수행한 잘못된 서비스 보안 구성
    • 누락된 HTTP 보안 헤더(예: X-FRAME-OPTIONS) 또는 쿠키 보안 플래그(예: “httponly”)
    • 사용자 또는 테넌트의 존재를 확인하거나 열거하는 데 사용되는 취약성
  • 타사를 기반으로 하는 취약성. 예:
    • Azure에서 제공하는 타사 소프트웨어(예: 갤러리 이미지, ISV 애플리케이션)의 취약성
    • 해당 온라인 서비스에 고유하지 않은 플랫폼 기술의 취약성(예: Apache 또는 IIS 취약성)
  • 지원되지 않는 브라우저 및 플러그 인에만 영향을 주는 웹 애플리케이션의 취약성
  • Microsoft Online 제품 및 서비스와 관련된 교육, 설명서, 샘플 및 커뮤니티 포럼 사이트는 장려금 범위에 속하지 않습니다.

Microsoft는 단독 판단에 따라 이러한 취약성 범주에 해당한다고 확인되면, 장려금을 받을 수 있는 경우에도 제출을 수락하거나 거부할 수 있는 권리가 있습니다. 

Microsoft Azure 침투 테스트 중에 취약성을 발견할 경우 장려금 적격 여부

Microsoft 클라우드 통합 침투 테스트 참여 규칙을 준수하는 것은 사용자 책임입니다. 장려금을 받으려면 조직이나 개인이 MSRC 제출 포털버그 제출 지침을 사용하여 장려금 적격 취약성을 확인하는 신고서를 Microsoft에 제출해야 합니다.

추가 정보

추가 정보는 FAQ를 참조하세요.

  • 각기 다른 사람으로부터 동일한 문제에 대한 버그 신고서를 여러 개 받을 경우 장려금은 최초 제출에 지급됩니다. 
  • 중복된 신고서에서 이전에 Microsoft에 알려지지 않은 새로운 정보를 제공하는 경우 중복 제출에도 차등 장려금이 지급될 수 있습니다. 
  • 제출이 잠재적으로 여러 장려금 프로그램에 적합한 경우, 단일 장려금 프로그램의 가장 많은 지급액 하나를 받게 됩니다.
  • Microsoft는 이러한 조건을 충족하지 않는다고 확인된 모든 제출을 단독 판단에 따라 거부할 수 있는 권리가 있습니다.

Microsoft 버그 장려금 프로그램에 참여해 주셔서 감사합니다.

 

 

수정 기록

  • 2014년 9월: 프로그램을 시작했습니다.
  • 2015년 4월: 프로그램 범위를 업데이트했습니다.
  • 2015년 8월: 프로그램 범위를 업데이트하고 장려금 프로그램 이름을 Online Services에서 클라우드 장려금 프로그램으로 변경했습니다.
  • 2018년 7월 17일: ID 관련 취약성을 Microsoft ID 장려금 프로그램으로 이동했습니다. (https://www.microsoft.com/msrc/bounty-microsoft-identity)
  • 2018년 12월 7일: 프로그램 소개와 FAQ 링크를 업데이트하고 수정 기록 섹션을 추가했습니다.
  • 2019년 1월 17일: 영향, 심각도 및 신고서 품질을 기준으로 장려금 범위를 업데이트했습니다. 범위 내 요약을 추가했습니다.
  • 2019년 6월 12일: 장려금 범위에 outlook.live.com을 추가했습니다.
  • 2019년 7월 17일: 장려금 범위에 Skype.com 및 tasks.office.com을 추가했습니다.
  • 2019년 8월 5일: 클라우드 장려금 프로그램을 Online Services 장려금 프로그램과 Azure 장려금 프로그램으로 분리했습니다. Azure 관련 범위를 Azure 장려금 프로그램으로 이동했습니다. 침투 지침을 업데이트했습니다.
  • 2020년 9월 2일: 범위 외 제출 목록에 “교육, 설명서, 샘플 및 커뮤니티 포럼 사이트”가 추가되었습니다. “장려금” 섹션과 “추가 정보” 섹션이 결합되었습니다. 
  • 2020년 9월 15일: “forms.office.com”이 다시 장려금 범위에 추가되었으며 “azure.microsoft.com/en-us/blog”는 제거되었습니다.
  • 2020년 9월 21일: “www.office.com”이 장려금 범위에서 제거되었고 “portal.azure.com”이 이 장려금 범위에서 제거되었습니다. “portal.azure.com”은 Azure 장려금 프로그램에 속합니다.