微软公布 Q3 季度 Top 5 赏金猎人名单

4月20日，微软MSRC公布了第三季度（2018年1月至3月）微软BUG奖励计划中表现最突出的TOP 5名单，并以此对这些白帽子表达谢意。

作为全球知名度最高的科技巨头之一，微软众多产品在全球广泛应用，单靠自己的力量很难发现所有的漏洞，为了保证足够的安全性，微软如诸多科技公司一样推出BUG奖励计划，对有效提交漏洞的赏金猎人提供丰厚的奖金，根据所提交的漏洞严重性，最高奖金高达25万美金。

获得奖金最多的前五名赏金猎人TOP 5

Kai Kang (@4B5F5F4B) - $40,000

Nick Freeman - $20,000

Yves Jean Avenard (Mozilla) - $15,000

The UK’s National Cyber Security Centre - $15,000

张云海 (NSFOCUS) - $15,000

合格赏金提交最多的赏金猎人TOP 5

Ashar Javed (@soaj1664ashar) – 22 Submissions

Cameron Vincent (@secretlyhidden1) – 16 Submissions

Suresh Chelladuri – 5 Submissions

Kai Kang (@4B5F5F4B) – 3 Submissions

Mario Gomes (@netfuzzer) – 2 Submissions

可以看到在Q3季度中，获得漏洞奖金最高的黑客拿到40000美元的奖金，约合人民币25万元。其中获得奖金数额排名第五的赏金猎人正式来自绿盟科技的安全研究员张云海。

计划名称开始日期结束日期符合条件的项赏金范围Microsoft .NET Core 和 ASP.NET Core Bug 赏金计划条款2016 年 9 月 1 日正在进行中关于 .NET Core 和 ASP.NET Core RTM 以及未来内部版本的漏洞报告（请访问链接查看计划详情）最高 15,000 美元Windows Insider Preview 中的 Microsoft Edge RCE Bug 赏金2016 年 8 月 4 日2017 年 5 月 15 日Windows Insider Preview 中 Microsoft Edge 的关键 RCE。具有时效性。最高 15,000 美元Online Services Bug 赏金 (O365)2014 年 9 月 23 日正在进行中关于适用的 O365 服务的漏洞报告（请访问链接查看计划详情）。最高 15,000 美元Online Services Bug 赏金 (Azure)2015 年 4 月 22 日正在进行中关于合格的 Azure 服务的漏洞报告（请访问链接查看计划详情）。最高 15,000 美元缓解绕过赏金2013 年 6 月 26 日正在进行中针对最新版本的 Windows 操作系统内置保护的新型利用技术。最高 100,000 美元防御赏金2013 年 6 月 26 日正在进行中合格的缓解绕过提交随附的防御方法最高 100,000 美元（适用的缓解绕过赏金除外）。

目前微软BUG奖励计划中还有五大项目正在持续进行，有兴趣的可以挑战一下。不过说句实话，像微软这种技术和产品已经相当成熟的企业来说，发现一个漏洞是比较困难的，更不用奢望拿到最高级别赏金的漏洞了