프로그램 설명:

Xbox 장려금 프로그램은 Xbox Live 네트워크 및 서비스에서 보안 취약성을 찾아 Xbox 팀과 공유하도록 전 세계 게이머, 보안 연구원 및 기타 사용자를 초대합니다. 적격한 제출은 $500~$20,000(USD)의 장려금 보상을 받을 수 있습니다.

취약성의 심각도 및 영향과 제출 품질을 기준으로 Microsoft의 판단에 따라 장려금이 지급되며, Microsoft 장려금 계약조건이 적용됩니다.

적격 제출의 조건

버그 장려금 프로그램의 목표는 Microsoft 고객의 보안에 직접적이고 명백한 영향을 주는 중요한 취약성을 파악하는 것입니다. 취약성 제출의 경우 다음 조건을 충족해야 장려금을 받을 수 있습니다.

  • 제출 시, 완전히 패치된 최신 버전의 Xbox Live 네트워크 및 서비스에서 재현되는, 이전에 신고되지 않은 취약성을 찾습니다.
  • 명확하고 간결하며 재현 가능한 단계를 문서나 동영상 형식으로 포함합니다.
    • 이렇게 하면 제출을 최대한 빠르게 검토할 수 있으며 최대 금액의 장려금이 지급됩니다.

시작

Xbox 네트워크 계정을 등록합니다. 보안 취약성 연구를 수행하려면 하나 이상의 테스트 계정을 만드는 것이 좋습니다.

  • Xbox 360, Xbox One, Xbox One S 또는 Xbox One X에 대한 액세스 권한은 테스트에 필요하지는 않지만, 유용할 수 있습니다. 콘솔은 테스트 목적으로 제공되지 않습니다.
  • Xbox Gold, Project xCloud, Xbox Game Pass, PC용 Xbox Game Pass 또는 Xbox Game Pass Ultimate 계정에 대한 액세스 권한은 테스트에 필요하지는 않지만, 유용할 수 있습니다. 유료 계정은 테스트 목적으로 제공되지 않습니다.

Twitter, Xbox 커뮤니티 사이트포럼에서 Xbox를 팔로우하고 Xbox 참가자에서 예정된 사항을 확인하여 최신 기능 및 릴리스에 대해 알아보세요.

장려금 설정 방법

장려금 수급 범위는 $500~$20,000입니다. 신고 품질 및 취약성 영향을 기준으로 Microsoft의 단독 판단에 따라 더 많은 금액의 장려금이 지급될 수 있습니다. 장려금을 받을 수 없는 제출을 제공하는 연구원도 제출 내용을 통해 취약성이 수정될 경우 공개적으로 인정을 받을 수 있습니다.

보안 영향

신고서 품질

심각도

위험

중요

보통

낮음

원격 코드 실행

높음

중간

낮음

$20,000

$15,000

$10,000

$15,000

$10,000

$5,000

N/A

N/A

권한 상승

높음

중간

낮음

$ 8,000

$ 4,000

$ 3,000

$5,000

$2,000

$1,000

$0

N/A

보안 기능 바이패스

높음

중간

낮음

N/A

$5,000

$2,000

$1,000

$0

N/A

정보 공개

높음

중간

낮음

N/A

$5,000

$2,000

$1,000

$0

$0

스푸핑

높음

중간

낮음

N/A

$3,000

$2,000

$500

$0

$0

변조

높음

중간

낮음

N/A

$3,000

$2,000

$500

$0

$0

서비스 거부

높음/낮음

범위 외

해당 없음: 나열된 보안 영향이 발생하는 취약성이 이 심각도 범주에 해당하지 않습니다. 

높은 품질의 신고서는 엔지니어가 문제를 빠르게 재현, 파악 및 해결하는 데 필요한 정보를 제공합니다. 이렇게 하려면 일반적으로 필요한 배경 정보, 버그 설명, 연결된 PoC(개념 증명)가 포함된 간결한 문서나 동영상을 포함합니다. 여기에서 높은 품질과 낮은 품질의 신고서 샘플을 확인할 수 있습니다.  

일부 문제는 재현 및 파악하기가 매우 어렵다는 것을 인정하며, 이 사실이 각 제출 품질을 평가할 때 고려됩니다. 

범위 내 취약성

다음은 위의 보안 영향 중 하나 이상이 발생할 수 있는 취약성의 예입니다.

  • XSS(교차 사이트 스크립팅)
  • CSRF(교차 사이트 요청 위조)
  • 안전하지 않은 직접 개체 참조
  • 안전하지 않은 deserialization
  • 삽입 취약성
  • 서버 쪽 코드 실행
  • 잘못된 중요 보안 구성(사용자로 인해 발생한 경우 제외)
  • 타사 구성 요소의 시연 가능한 익스플로잇
    • 악용 가능성의 전체 PoC(개념 증명)가 필요합니다. 예를 들어 만료된 라이브러리를 확인하는 것만으로는 장려금을 받을 수 없습니다.

장려금 적격 MICROSOFT ONLINE SERVICES 테스트를 규정하는 규칙

이 프로그램의 범위는 Xbox 네트워크의 기술 취약성으로 제한됩니다.

다음 활동은 Xbox 장려금 프로그램에서 허용되지 않습니다.

  • 모든 종류의 서비스 거부 테스트
  • 상당한 양의 트래픽을 생성하는 자동화된 서비스 테스트 수행
  • 소유하지 않은 데이터 액세스 예를 들어 계정 간 액세스를 시연하고 증명할 목적으로 소수의 테스트 계정을 만들 수 있으며 권장됩니다. 그러나 이러한 계정 중 하나를 사용하여 합법적인 고객이나 계정의 데이터에 액세스하는 것은 허용되지 않습니다.
  • 서버 쪽 실행 문제의 경우 최소한으로 필요한 “개념 증명” 재현 단계 이상의 작업
  • Microsoft 직원 또는 Xbox 고객에 대한 피싱 또는 기타 소셜 엔지니어링 공격 시도

이러한 금지 사항과 별도로, Microsoft는 악의적인 것으로 보이는 모든 네트워크 활동에 대응할 수 있는 권리가 있습니다.

범위 외 취약성

Microsoft는 사례별로 모든 제출을 받고 검토하지만, 일부 제출과 취약성 유형은 장려금 보상에 부적합할 수 있습니다. 다음은 일반적으로 장려금 보상을 받지 못하는 몇 가지 일반적인 낮은 심각도 또는 범위 외 문제입니다.

  • Microsoft에 이미 신고되었거나 광범위한 보안 커뮤니티에 이미 알려져 있는 공개된 취약성
  • 다음을 비롯한 범위 외 취약성 유형:
    • 서버 쪽 정보(예: IP, 서버 이름, 대부분의 스택 추적 등) 공개
    • 영향이 낮은 CSRF 버그(예: 로그오프)
    • 서비스 거부 문제
    • 사기 관련 문제
    • 하위 도메인 인수
    • 쿠키 재생 취약성
    • URL 리디렉션(더 심각한 취약성을 생성하기 위해 다른 취약성과 결합하는 경우 제외)
  • 사용자 구성 또는 작업을 기반으로 하는 취약성. 예:
    • 광범위하거나 발생 가능성이 없는 사용자 작업이 필요한 취약성
    • 사용자가 만든 콘텐츠 또는 애플리케이션의 취약성
  • 타사를 기반으로 하는 취약성. 예:
    • 개념 증명 없이 확인된 타사 소프트웨어의 취약성
  • 다른 Microsoft 제품의 취약성:
    • 이 제출은 다른 프로그램을 통한 장려금에 적합할 수 있습니다. 다른 적격 Microsoft 프로그램 및 서비스에 대한 장려금 프로그램의 전체 목록을 참조하세요.  
  • Mixer, GamePass, xCloud, Xbox.com의 취약성
  • Microsoft가 소유하지 않는 타사 사이트 및 마케팅 작업 관련 사이트의 취약성
    • Microsoft의 소유권을 검증하려면 테스트 전에 확인된 모든 IP의 “WHOIS” 레코드를 검사하세요. Microsoft 소유 하위 도메인에 있는 일부 Microsoft용 타사 호스트 사이트와 타사는 이 버그 장려금 프로그램의 범위에 속하지 않습니다.
  • Microsoft Game Studios의 취약성(다음을 포함하되, 이에 국한되지 않음):
    • compulsiongames.com
    • doublefine.com
    • inxile.net
    • ninjatheory.com
    • obsidian.net
    • playground-games.com
    • undeadlabs.com

Microsoft는 단독 판단에 따라 이러한 취약성 범주 또는 기타 취약성 범주에 해당한다고 확인되면, 장려금을 받을 수 있는 경우에도 제출을 거부할 수 있는 권리가 있습니다.

제출 제공 방법

MSRC 제출 포털에서 제출 지침의 권장 형식에 따라 전체 제출 내용을 Microsoft로 보내주세요. 모든 취약성을 신고할 때는 Coordinated Vulnerability Disclosure를 따를 것을 요청합니다. Microsoft는 이해하기 어렵거나 불완전한 제출 내용을 파악하기 위해 합리적인 노력을 합니다.

장려금 지급 규정

Microsoft는 단독 판단에 따라 장려금 및 범위 내 적격 제출을 결정합니다.

  • 개별 제출자가 제공할 수 있는 적격한 제출 수 또는 제출자가 받을 수 있는 장려금 횟수에는 제한이 없습니다.
  • 각기 다른 사람으로부터 동일한 문제에 대한 버그 신고서를 여러 개 받을 경우 장려금은 완전하고 재현 가능한 최초 제출에 지급됩니다. 
  • 중복된 신고서에서 이전에 Microsoft에 알려지지 않은 새로운 정보를 제공하는 경우 중복 제출에도 차등 장려금이 지급될 수 있습니다. 
  • 제출이 잠재적으로 여러 장려금 프로그램에 적합한 경우, 단일 장려금 프로그램의 가장 많은 장려금 하나를 받게 됩니다. 
  • 기존 장려금 프로그램에 해당하지 않더라도, Microsoft는 취약성을 해결할 때 해당 연구원의 매우 중요한 기여를 공개적으로 인정합니다.
  • 장려금 보상을 받을 수 없는 제출을 포함하여 모든 유효한 취약성 제출이 연구원 인정 프로그램 및 순위표에 계산됩니다. 

장려금 계약조건

Microsoft 장려금 프로그램 요구 사항 및 법적 지침에 대한 자세한 내용은 장려금 계약조건, 세이프 하버 정책 및 FAQ를 참조하세요. 

궁금한 점이 있으십니까? 언제든지 secure@microsoft.com으로 문의하세요.

Microsoft 버그 장려금 프로그램에 참여해 주셔서 감사합니다.

수정 기록

  • 2020년 1월 30일: Xbox 장려금 시작됨