Anuncio del lanzamiento del desafío de investigación de seguridad SSRF de Azure – Centro de respuesta de seguridad de Microsoft

Microsoft se complace en anunciar el lanzamiento de un nuevo desafío de investigación de seguridad de tres meses bajo el Laboratorio de seguridad de Azure iniciativa. los Desafío de investigación de falsificación de solicitudes del lado del servidor de Azure (SSRF) invita a los investigadores de seguridad a descubrir y compartir vulnerabilidades SSRF de alto impacto en Microsoft Azure. Los envíos calificados son elegibles para recompensas de recompensas de hasta $ 60,000 USD, con premios adicionales por identificar patrones de ataque innovadores o novedosos. ¿Listo para el desafío? Regístrese para recibir actualizaciones aquí.

Microsoft se compromete a garantizar que nuestra nube esté a salvo de las amenazas modernas. Nuestro Centro de operaciones de ciberdefensa (CDOC) y los equipos de seguridad trabajan las 24 horas del día para identificar, analizar y responder a las amenazas en tiempo real, y trabajamos para ayudar a los clientes a proteger sus entornos de nube de Azure con productos como Centinela azur y Centro de seguridad de Azure. Las asociaciones con la comunidad worldwide de investigadores de seguridad son una parte importante de nuestra estrategia de seguridad.

Este Desafío de investigación de la SSRF de Azure se ejecutará desde el 19 de agosto de 2021 hasta el 19 de noviembre de 2021, con recursos de investigación de la SSRF y la oportunidad de colaborar con miembros del equipo de seguridad de Microsoft Cloud.

Escenarios y recompensas

Otorgaremos hasta un 50% de bonificaciones además del true Programa de recompensas de Azure para escenarios específicos en Azure SSRF Problem durante el período del programa. Para obtener más información sobre el alcance del desafío de investigación elegible y los montos de los premios, visite el Laboratorio de seguridad de Azure página.

Escenarios Monto de bonificación (hasta)
Protocolos distintos a HTTP (p. Ej., Ataque de rebote de FTP) 50%
SSRF almacenado (como análogo al XSS almacenado) 50%
SSRF «profunda»

Ejemplo: ataques SSRF que solo son evidentes en la máquina de estado de la víctima
Ejemplo: SSRF que se manifiesta más allá de la explotación directa de una característica del lado del cliente / UI expuesta por el servicio a los usuarios.

50%
SSRF de varios saltos (es decir, más de un diputado confundido) 40%
SSRF en combinación con CSRF 30%
Premio Typical de la SSRF 10%

Por qué Microsoft se asocia con investigadores de seguridad

El panorama de la seguridad cambia constantemente con la tecnología emergente y las amenazas a la seguridad. Microsoft busca expandir y mejorar continuamente la forma en que nos asociamos con nuestra comunidad de investigadores para mitigar esas amenazas. A través de este desafío, obtendremos más información no solo sobre cómo podemos proteger mejor a los usuarios de Microsoft contra las vulnerabilidades generales de SSRF, sino también para asociarnos con investigadores para identificar y premiar patrones de ataque nuevos y creativos.

Si tiene alguna pregunta sobre el Desafío de investigación de la SSRF de Azure o preguntas generales sobre cualquier otro programa de incentivos de investigación de seguridad, envíenos un correo electrónico a bounty@microsoft.com.

Madeline Eckert, directora sénior de programas, MSRC



Fuente del articulo