微軟、Google雙雙提高抓漏獎金，最高上看3萬美元

網路及軟體大廠過去透過抓漏獎金提升產品安全性；然而漏洞也愈來愈難抓。近日微軟及Google雙雙宣佈提高軟體抓蟲獎金。 

微軟日前宣佈最新一次Office 365抓臭蟲獎勵方案。從2017年3月1日到5月1日經由Microsoft Office 365及Exchange Online上傳回報Office 365產品且經過核可的漏洞，抓蟲獎金將由現行最低500、最高15,000美元再翻倍，最高上看30,000美元。 

本次方案涵括微軟產品及服務，像是Microsoft Office入口網站、Office 365、Outlook.com、Office.com中的跨網站攻擊（XSS）、跨站呼叫偽造（CSRF）、非授權跨租戶資料竄改或存取、注入型漏洞、驗證漏洞、伺服器程式碼執行、權限升級及重大安全組態錯誤等漏洞。 

巧合的是，Google也於周一針對Google.com、Youtube.com及blogger.com網域，Google開發的app、擴充程式及Google自有品牌硬體如OnHub與Net發佈類似的方案，獎金由100到20,000美元不等。 

其中在難度最高的漏洞獎金都大幅增加。例如Google伺服器上的遠端程式碼執行漏洞，如指令碼注入、反序列化（Deserialization）漏洞，獎金由20,000提高為31,337美元，而檔案系統或資料庫無限制存取漏洞，如SQL資料隱碼攻擊或XML外部實體注入攻擊(XXE)漏洞，獎金也由10,000增加為13,337美元。. 

從2010年啟動抓漏獎勵方案，Google迄今已發出超過900萬美元獎金，光是去年就發了300萬。