微软宣布了Identity Bounty计划

　　数字身份被称为通过Inter访问企业应用程序和服务的关键。微软全力投入这项业务。借助面向消费者的Microsoft帐户和企业的Azure Active Directory等服务，Microsoft致力于保护用户的数字身份，甚至使其更好。现在，微软昨天宣布为安全研究人员推出全新的Identity Bounty计划。一旦发现微软的产品范围存在缺陷，例如微软身份服务，这些安全研究人员的报酬将从500美元到100,000美元不等。

　　Microsoft Identity Bounty计划

　　如果安全研究人员在Microsoft列出的服务中发现安全漏洞，他们可以私下向Microsoft披露该漏洞并允许他们在发布技术结果之前修复该漏洞，然后他们将获得奖励。他们还在扩大其奖金，以涵盖那些经过认证的精选OpenID标准的实施。

　　来自自动化工具或扫描的报告

　　没有明确识别安全影响的问题(例如静态网站上的点击劫持)，缺少安全标头或描述性错误消息

　　密码，电子邮件和帐户政策，例如电子邮件ID验证，重置链接过期，密码复杂性

　　用户对服务的安全配置错误，例如在存储帐户上启用HTTP访问以允许中间人(MiTM)攻击

　　任何规范中基于标准的漏洞，具有草案，候选版本或实施草案的状态。候选人，实施或标准草案的问题应作为正常标准制定过程的一部分直接报告给相关标准机构。

　　未明确列出的规范中基于标准的漏洞。

　　Microsoft认证的Microsoft产品和服务实施中基于标准的漏洞。

　　缺少HTTP安全标头(例如X-FRAME-OPTIONS)或cookie安全标志(例如“httponly”)

　　服务器端信息泄露，例如IP，服务器名称和大多数堆栈跟踪

　　拒绝服务问题

　　漏洞需要不太可能的用户操作

　　公开披露的漏洞已为微软和更广泛的安全社区所熟知

　　Azure提供的第三方软件中的漏洞，例如图库图像和ISV应用程序

　　Web应用程序中仅影响不受支持的浏览器和插件的漏洞

　　漏洞用于枚举或确认用户或租户的存在

　　我们不接受要求操纵数据，网络访问或针对Microsoft办公室或数据中心的物理攻击和/或服务台，员工或承包商的社会工程的提交

　　双因素身份验证绕过，需要物理访问已登录的设备

　　操作有根移动设备时对用户数据的本地访问