Why XSS still matters: MSRC’s perspective on a 25-year-old threat 跨站脚本（XSS）攻击持续威胁现代应用，微软安全响应中心（MSRC）处理了大量案例，涉及多种漏洞类型和严重程度。文章探讨了XSS的持续性、影响因素及微软的应对策略，包括安全政策和工具改进。... 2025-9-4 07:0:0 | 阅读: 0 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com microsoft security servicing criteria

BlueHat Asia 2025: Closing soon: Submit your papers by September 5, 2025 微软安全响应中心宣布BlueHat Asia 2025将于2025年11月5日至6日在印度班加罗尔举行，并开放论文征集至9月5日。该会议旨在汇聚全球安全专家与研究人员，分享研究成果与实践经验，推动网络安全发展。... 2025-8-27 07:0:0 | 阅读: 7 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com bluehat security microsoft papers discoveries

BlueHat Asia 2025: Closing soon: Submit your papers by September 14, 2025 微软MSRC将举办BlueHat Asia 2025安全会议于印度班加罗尔,时间为2025年11月5日至6日,现征集论文至9月14日,主题包括漏洞发现与防御策略、AI与物联网安全等,欢迎全球安全专家与新手参与分享。... 2025-8-27 07:0:0 | 阅读: 0 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com bluehat security microsoft discoveries papers

postMessaged and Compromised 微软安全响应中心（MSRC）发现并修复了多个与`postMessage` API相关的高风险漏洞，涉及令牌泄露、跨站脚本（XSS）和权限提升。这些漏洞源于过于宽松的信任模型和不安全的原点验证配置。MSRC与工程团队合作实施了修复措施，并建议开发者限制信任域、避免使用通配符原点以及严格验证消息来源以提高安全性。... 2025-8-25 07:0:0 | 阅读: 0 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com postmessage microsoft security malicious

Microsoft Bounty Program year in review: $17 million in rewards 微软漏洞赏金计划今年向344名研究人员发放1700万美元奖金，创历史新高。该计划覆盖Azure、Microsoft 365等产品，并通过Zero Day Quest等活动激励安全研究。微软致力于通过不断扩展和优化赏金计划保护用户安全。... 2025-8-5 07:0:0 | 阅读: 3 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com microsoft security awards defender copilot

Zero Day Quest: Join the largest hacking event with up to $5 million in total bounty awards 微软推出Zero Day Quest安全活动，提供高达500万美元奖金，聚焦云和AI安全研究。研究人员可通过提交漏洞获奖励，并有机会受邀参与现场黑客比赛。微软还提供培训支持，并鼓励负责任地披露漏洞以提升整体安全性。... 2025-8-4 07:0:0 | 阅读: 5 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com security microsoft quest cloud dynamics

.NET Bounty Program now offers up to $40,000 in awards 微软更新了.NET漏洞赏金计划，扩大覆盖范围并增加最高至4万美元的奖励金额，涵盖更多技术与场景，并优化了漏洞评估与奖励标准。... 2025-7-31 07:0:0 | 阅读: 0 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com security submissions award awards microsoft

.NET Bounty Program now offers up to $40,000 in awards 微软更新了.NET漏洞奖励计划，扩大覆盖范围至更多技术，并调整了奖励结构和提高了最高奖励金额至4万美元。... 2025-7-31 07:0:0 | 阅读: 10 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com security submissions award awards microsoft

How Microsoft defends against indirect prompt injection attacks 文章探讨了间接提示注入对LLM系统的威胁及其潜在安全影响，如数据外泄和非预期操作。微软通过强化系统提示、Spotlighting技术、检测工具及数据治理等多层防御策略应对这一挑战。... 2025-7-29 07:0:0 | 阅读: 0 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com injection llm microsoft security attacker

Customer guidance for SharePoint vulnerability CVE-2025-53770 微软警告针对内部 SharePoint Server 的攻击利用 CVE-2025-53770 漏洞展开，SharePoint Online 未受影响。目前无补丁可用，建议启用 AMSI 集成、部署 Defender AV 并断开互联网连接以缓解风险。Microsoft Defender 提供相关检测功能。... 2025-7-19 07:0:0 | 阅读: 25 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com microsoft defender security spinstall0 53770

Congratulations to the MSRC 2025 Most Valuable Security Researchers! 微软研究人员认可计划表彰了今年的100位最有价值安全研究员（MVRs），基于2024年7月1日至2025年6月30日提交的有效漏洞报告积分评选。该计划还设有技术领域排行榜，并为研究人员颁发徽章和奖励。... 2025-7-15 07:0:0 | 阅读: 3 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com badges annual mvr

Congratulations to the top MSRC 2025 Q2 security researchers! 微软2025年第二季度安全研究者排行榜揭晓，公布了各领域顶尖研究人员名单，并介绍了积分规则及透明度提升措施。... 2025-7-7 07:0:0 | 阅读: 4 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com leaderboard quarter security quarterly

Rising star: Meet Dylan, MSRC’s youngest security researcher 13岁的Dylan成为微软最年轻的安全研究员，从Scratch编程开始探索技术世界。他发现Teams漏洞并提交报告，推动微软调整政策允许青少年参与。他的故事展现了好奇心、毅力和责任感的力量。... 2025-7-1 07:0:0 | 阅读: 2 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com dylan security him scratch microsoft

RedirectionGuard: Mitigating unsafe junction traversal in Windows 微软推出Windows 11新功能RedirectionGuard，旨在防范文件系统重定向攻击。该功能通过阻止非管理员用户创建的Junction（连接点），防止恶意程序利用其进行权限提升或破坏系统文件。开发者可轻松启用此功能以增强应用安全性。... 2025-6-25 07:0:0 | 阅读: 6 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com redirection attacker junction junctions windows

Congratulations to the Top MSRC 2025 Q1 Security Researchers! 微软2025年第一季度安全研究人员排行榜揭晓，表彰了Azure、Office、Windows和Dynamics等领域的顶尖研究者，并介绍了评分系统更新及透明度提升措施。... 2025-5-9 07:0:0 | 阅读: 3 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com leaderboard security quarter q1

Zero Day Quest 2025: $1.6 million awarded for vulnerability research 微软举办全球最大黑客竞赛“Zero Day Quest”，吸引顶尖安全研究员参与 Copilot 和云安全场景挑战，提供高达400万美元奖金。活动收到600多个漏洞报告并发放160万美元奖励。微软承诺延续Copilot漏洞奖励计划并每年举办该赛事，以深化与研究社区合作。... 2025-4-21 07:0:0 | 阅读: 0 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com security microsoft awards quest copilot

Zero Day Quest 2025: $1.6 million awarded for vulnerability research 微软举办Zero Day Quest竞赛，邀请全球顶尖安全研究人员挑战Copilot和云安全场景，并提供高达4百万美元奖金。活动收到600多个漏洞提交，奖励160万美元，并开展培训和技术讨论。未来将每年举办并继续投资于与研究社区的合作。... 2025-4-21 07:0:0 | 阅读: 4 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com security microsoft quest copilot awards

Announcing the winners of the Adaptive Prompt Injection Challenge (LLMail-Inject) 微软举办首届自适应提示注入挑战赛 LLMail-Inject，旨在提升对间接提示注入攻击的防御能力。参赛者模拟攻击者通过邮件操控LLM执行未授权操作，使用多种防御措施和模型进行测试。比赛吸引了621名参与者和224支队伍，提交超37万次尝试。获胜团队分享策略并获表彰，比赛为AI安全教育提供实践机会，并宣布启动新挑战Re:LLMail-Inject。... 2025-3-14 07:0:0 | 阅读: 2 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com defenses llm prize injection competition

Jailbreaking is (mostly) simpler than you think 文章介绍了一种名为Context Compliance Attack（CCA）的简单越狱技术，通过在对话历史中注入虚假助手回应来诱导AI生成受限内容。该方法针对依赖客户端提供对话历史的AI系统有效，而保留服务器端对话状态的系统如Copilot和ChatGPT则不受影响。微软提供了开源工具PyRIT用于复现此攻击，并建议采用加密签名和服务器端历史管理等缓解措施。... 2025-3-13 07:0:0 | 阅读: 1 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com cca pyrit microsoft safeguards

Exciting updates to the Copilot (AI) Bounty Program: Enhancing security and incentivizing innovation 微软宣布更新其Copilot（AI）漏洞赏金计划，整合在线服务漏洞分类标准、增加中等严重程度漏洞奖励，并扩大适用范围以涵盖更多Copilot产品和服务。... 2025-2-7 08:0:0 | 阅读: 2 | 收藏 | Microsoft Security Response Center - msrc.microsoft.com copilot microsoft security commitment