微软 Bug 悬赏:绕过多因素认证最高可获10万美元奖励

by admin on 2020年3月26日

最新上线的 Microsoft Identity bounty Bounty
项目需要安全专家发掘和分享在多因素认证解决方案中所存在的安全漏洞,根据所提交的漏洞影响级别以及检测到的
bypass 级别,悬赏金范围在500至10万美元之间。

图片 1

图片 2

图片 3

   
Dynamics AX
7已经发布了一段时间了,我们知道这次微软为我们带来了许多令人激动的新特性。在这个系列里,Reinhard将揭开New Dynamics
AX的神秘面纱,和大家一起探索这些新的特性。

据外媒报道,近日,微软和谷歌两家公司都宣布了提高漏洞悬赏奖金的消息。

微软在新 Bug
悬赏项目中说道:“高质量报告为工程师快速复制、理解和解决问题提供了所需的信息。这些通常会包含
Bug 的背景信息、Bug 的描述以及概念验证。我们意识到某些
Bug 极难重现和理解,因此在判断提交 Bug 质量的时候会充分考虑到这点。”

   
国际惯例,第一部分呢,还是说说怎么配置Demo环境吧。我们都知道,Dynamics
AX 7 主要有两种部署模式,一种是由Dynamics Lifecycle
Services提供的云环境部署,另一种是和之前版本一样的On-Premises的部署方式。从这个链接获取Demo环境:Get an
evaluation copy of Dynamics
AX。

如果替谷歌找到了一个远程代码执行漏洞的话,那么可以得到 31337
美元的奖金(原先只有 20000 美元);如果找到了
“无限制文件系统或数据库访问” 漏洞的话,那么可以得到 13337
美元的奖金(原先只有10000 美元)。

根据 Bug
悬赏项目的信息,最大的悬赏是绕过多因素身份认证,而最小的悬赏就是跨站点请求伪造、授权漏洞以及不完整提交的敏感数据泄露等等。白客找到这些漏洞提交给微软之后,根据微软官方评判危险等级能够获得最低
500 美元,最高 10 万美元的奖励。

   
有条件的同学可以使用微软提供的云环境进行体验。

虽然谷歌的奖金提升幅度没有微软那么大,但它却是永久性的。

此外本轮 Bug 悬赏计划涵盖以下几个:

   
我这里采用On-Premises的部署方式,跟之前的版本一样,配置Hyper-V的虚拟机,进入系统,一切都异常得顺利。

至于微软,其奖金提高活动将在 5 月 1 日截止,据悉,这家公司宣布将 Office
365 相关的大型漏洞奖金提高一倍。也就是说,原先 15000 美元的奖金现在有
30000 美元。参与者可将漏洞提交到 Exchange Online 和 Office 365 Admin
Portal 上。

login.Windows.net
login.microsoftonline.com
login.live.com
account.live.com
account.windowsazure.com
account.activedirectory.windowsazure.com
credential.activedirectory.windowsazure.com
portal.Office.com
passwordreset.microsoftonline.com

   
打开https://usnconeboxax1aos.cloud.onebox.dynamics.com,用自带的管理员账户administrator@contosoax7.onmicrosoft.com登录,提示以下错误:

图片 4

来自:cnBeta

We don’t
recognize this user ID or password

以下为奖金翻倍适用的域名:

Be sure
to type the password for your work or school account.

portal.office.com

 

outlook.office365.com

图片 5

outlook.office.com

 

outlook.live.com

   
自带的这个管理员账号已经不能使用了,需要使用自己的AAD账号。下面Reinhard先创建自己的Azure
Active Directory。进入https://manage.windowsazure.com,点击新建

*.outlook.com

 

来自:cnBeta.COM

图片 6

 

   
选中Azure Active Directory目录,点击自定义创建

图片 7

   
录入必要的信息,点击确定。

图片 8

   
如果命名没有冲突的话,Azure Active
Directory就已经创建好了,下面开始添加用户。

图片 9

   
选择管理访问权限添加新用户

图片 10

   
选择用户类型,录入用户名,点击下一步。

图片 11

   
输入用户的详细信息,角色我这里选择全局管理员,点击下一步。

图片 12

   
系统会分配一个临时的密码,第一次登陆时会让你修改密码。

图片 13

图片 14

   
到这里,Azure Active
Directory和用户都已经建好了。接下里啊,我们把刚建好的这个AAD用户,设置为Dynamics
AX 7 的管理员。

   
以管理员身份,运行桌面上的那个Dynamics administrator provisioning
tool
,输入reinhard@msdynax.onmicrosoft.com
,点击提交。稍等片刻,就可以看到Dynamics AX 7
的管理员用户成功设为reinhard@msdynax.onmicrosoft.com了。

图片 15

   
接下来我们用reinhard@msdynax.onmicrosoft.com来登陆系统。

图片 16

   
第一次登陆的时候,提示需要更新密码,按照提示更新下密码。

   
少许等待,出现500错误:

There is
a problem with the server

Sorry,
the server has encountered an error. It is either not available or it
can’t respond at this time. Please contact your system
administrator.

500
Error

图片 17

   
仔细阅读错误提示,应该是本机时间不在正常的误差范围内,导致的服务器不响应。

   
接下来我们更新下系统时间。我这里从互联网上的时间服务器那里同步本机时间,服务器列表里的第一个服务器地址我这里同步失败,但是time.nist.gov这个服务器地址可以同步成功。

图片 18

   
接下来Reinhard重新登陆。

图片 19

图片 20

   
又收到如下错误提示:

You are
not authorized to login with your current credentials.You will be
redirected to the login page in a few seconds.

图片 21

Reinhard
又重试了几次,终于成功进入到系统里面。

图片 22

   
本节我们主要了解了如何部署 Demo 环境,如何新建Azure Active
Directory和用户。这次我们就先分享到这里。

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图