微软调整并扩展漏洞赏金定价模式

　　微软不久前更新了它的漏洞赏金计划，为那些有资格获得赏金的人添加了额外的产品。如今，该公司正在修改其条款，以更准确地表达您对其计划的期望。

　　为了从漏洞中获得最大收益，您将需要偶然发现以下高影响场景：

　　• 通过不受信任的输入执行远程代码（CWE-94“代码生成的不当控制（\'代码注入\'）”）（+30% 最高奖励）

　　• 通过不可信输入执行远程代码（CWE-502“不可信数据的反序列化”）（+30% 最高奖励）

　　• 未经授权的跨租户和跨身份敏感数据 1 泄露（CWE-200“向未经授权的参与者暴露敏感信息”）（+20% 最高奖励）

　　• 未经授权的跨身份敏感数据泄露（CWE-488“暴露于错误会话的数据元素”）（+20% 最高奖励）

　　• “混淆代理”漏洞可用于实际攻击，以绕过身份验证的方式访问资源（CWE-918“服务器端请求伪造（SSRF）”）（+15% 最高奖励）

　　您可以在 Microsoft 的页面上查看错误赏金更改的完整摘要，该页面提供了 Redmond 愿意为其提供现金的当前产品和服务的深入细分。请注意，许多错误，如果它们仅被视为“中等”或“低”威胁，会给您带来惊人的零货币，因此请确保您报告一个足够大且足够多汁的错误，以便从 Microsoft 适当地获得奖励。忘记那些通过故意攻击公司赚取数百万美元的犯罪分子。