Microsoft geçtiğimiz hafta .NET core ve ASP.NET Beta için bug avı programını başlattığını duyurdu. Bu ikisinin Microsoft için, Visual Studio Development Suite kapsamındaki yapı taşları denilebilir.
Program, 20 Ekim 2015 ve 20 Ocak 2016 tarihleri arasında ve bu süreçte çıkan tüm beta ve RC sürümlerini, ve bu süreçte çıkan final sürümleri de içeriyor.
Araştırmacılar CoreCLR olarak da adlandırılan .NET core runtime’da buldukları her bug’ın karmaşıklığına ve kalitesine göre $500 ile $15.000 arasında para ödülü kazanabilecekler.
Bug’lar kapsamında olabilecek örnekler şöyle sıralanabilir:
- remote code execution
- security design flaws
- privilege escalation
- remote denial-of-service (DoS)
- tampering and spoofing
- information leaks
- cross site scripting (XSS)
- cross-site request forgery (CSRF)
Ayrıca tüm bug raporları beraberinde bir de proof-of-concept (PoC) de barındırmak zorunda.
Örneğin en pahalı ödül olan $15.000’lık ödül, bir “remote code execution” açığı konusundayken, beraberinde çalışan bir demo, kaliteli bir rapor veya bir whitepaper da barındırmalı. Eğer bunlar olmazsa, ödül sadece $1.500 civarında da olabilir.
Microsoft’un ödemeye hazır olduğu ödüller ise kabaca şöyle özetlenebilir:
- Security design flaws ve privilege elevation issues için $10.000
- DoS and spoofing/tampering vulnerabilities için $5.000
- information leaks için $2.500
- CSRF and XSS flaws için $2.000
Ayrıca Microsoft bir de online servislerinde bulunabilecek “authentication” açıkları için $30.000’ı bulabilecek ödüller paylaşacağını da açıkladı. Geçtiğimiz dönemde Wesley Wineberg adlı bir kişi Live.com’da bulduğu bir açık ile $24.000 sahibi olmuştu.