Bug Bounty atau hadiah untuk siapapun yang bisa memperbaiki bug adalah hal yang biasa dilakukan oleh sebuah perusahaan. Baik black hats ataupun grey hats mulai berlomba-lomba untuk memenangkan bug bounty ini. Microsoft telah menyiapkan hadiah kepada siapapun yang bisa menemukan dan memperbaiki bug di layanan online miliknya.
Hal ini sangat bertentangan, kebanyakan jika hacker telah menemukan cela maka mereka akan mulai merusak dan mencuri data yang kemudian akan dijual di blackmarket. Dengan melakukan program ini, setidaknya mereka akan dapat mengatasi para hacker tersebut.
Bug Bontry program diarahkan kepada cela keamanan seperti:
- Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
- Unauthorized cross-tenant data tampering or access (for multi-tenant services)
- Insecure direct object references
- Injection Vulnerabilities
- Authentication Vulnerabilities
- Server-side Code Execution
- Privilege Escalation
- Significant Security Misconfiguration
Yang ditujukan untuk layanan online diataranya:
- portal.office.com
- *.outlook.com (Office 365 untuk business email services applications, termasuk konsumen layanan “outlook.com”)
- outlook.office365.com
- login.microsoftonline.com
- *.sharepoint.com – termasuk user-generated content
- *.lync.com
- *.officeapps.live.com
- www.yammer.com
- api.yammer.com
- adminwebservice.microsoftonline.com
- provisioningapi.microsoftonline.com
- graph.windows.net
Ada berbagai ketentuan dan syarat untuk bisa memenangkan program bug bounty ini. Minimum pembayaran untuk setiap bug adalah $500 atau sekitar Rp 5 juta. Microsoft sudah bertahun-tahun menyelenggarakan program bug bounty, tetapi baru kali ini ia membukanya untuk layanan online miliknya. Biasanya ia membuka program bug bounty untuk software-software saja seperti Windows, Microsoft Office atau Internet Explorer.
Ada yang tertarik untuk mengikuti program ini? Bagi kamu yang punya skill untuk menganalisa dan memperbaiki bug, silahkan lihat informasi lebih lanjut dari link di bawah ini.
