微软、Google双双提高抓漏奖金，最高上看3万美元

网络及软件大厂过去透过抓漏奖金提升产品安全性；然而漏洞也愈来愈难抓。近日微软及Google双双宣布提高软件抓虫奖金。 

微软日前宣布最新一次Office 365抓臭虫奖励方案。从2017年3月1日到5月1日经由Microsoft Office 365及Exchange Online上传回报Office 365产品且经过核可的漏洞，抓虫奖金将由现行最低500、最高15,000美元再翻倍，最高上看30,000美元。 

本次方案涵括微软产品及服务，像是Microsoft Office入口网站、Office 365、Outlook.com、Office.com中的跨网站攻击（XSS）、跨站呼叫伪造（CSRF）、非授权跨租户资料窜改或存取、注入型漏洞、验证漏洞、服务器程式码执行、权限升级及重大安全组态错误等漏洞。 

巧合的是，Google也于周一针对Google.com、Youtube.com及blogger.com网域，Google开发的app、扩充程式及Google自有品牌硬件如OnHub与Net发布类似的方案，奖金由100到20,000美元不等。 

其中在难度最高的漏洞奖金都大幅增加。例如Google服务器上的远端程式码执行漏洞，如指令码注入、反序列化（Deserialization）漏洞，奖金由20,000提高为31,337美元，而档案系统或数据库无限制存取漏洞，如SQL资料隐码攻击或XML外部实体注入攻击(XXE)漏洞，奖金也由10,000增加为13,337美元。. 

从2010年启动抓漏奖励方案，Google迄今已发出超过900万美元奖金，光是去年就发了300万。