Bybit มีโปรแกรม Bug Bounty หรือไม่?

ใช่ Bybit มีโปรแกรมให้รางวัลบั๊ก หากคุณสังเกตเห็นช่องโหว่บน Bybit และต้องการรับค่าตอบแทนจากข้อผิดพลาด โปรดดูขั้นตอนด้านล่าง: 

ขั้นตอนที่ 1: รวมสิ่งที่คุณค้นพบทั้งหมดในรูปแบบที่เป็นระเบียบและเป็นระเบียบ การให้ GIF หรือการบันทึกวิดีโอของจุดบกพร่องจะได้รับการชื่นชมมากที่สุด

ขั้นตอนที่ 2: ส่งรายงานความปลอดภัยและผลการตรวจสอบของคุณผ่านแบบฟอร์มนี้ และเลือกตัวเลือกการซื้อขาย API / รายงานช่องโหว่ด้านความปลอดภัย

สำหรับการบันทึกวิดีโอ โปรดอัปโหลดไปที่ Google Drive และส่งลิงก์ที่แชร์ได้ให้เรา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการทำ โปรดเยี่ยมชมที่นี่

 

 

ค่าตอบแทนข้อผิดพลาดที่ได้รับเมื่อเจอช่องโหว่ได้รับการอนุมัติคืออะไร?

โปรดดูตารางด้านล่างสำหรับค่าตอบแทนจุดบกพร่องที่มีให้ตามระดับของช่องโหว่ที่ตรวจพบ

 

 

ระดับต่าง ๆ ของจุดบกพร่อง/ช่องโหว่มีการกำหนดไว้อย่างไร?

โปรดดูรายการด้านล่างสำหรับข้อมูลเพิ่มเติม:
 

ช่องโหว่ระดับร้ายแรง

ช่องโหว่ระดับร้ายแรง หมายถึงช่องโหว่ที่เกิดขึ้นในระบบธุรกิจหลัก (ระบบควบคุมหลัก, การควบคุมฟิลด์, ระบบแจกจ่ายของธุรกิจ, fortress machine หรือสถานที่ควบคุมอื่นๆ ที่สามารถจัดการระบบจำนวนมากได้) ซึ่งอาจก่อให้เกิดผลกระทบที่รุนแรง, ได้รับการเข้าถึงระบบการควบคุมทางธุรกิจ (ขึ้นอยู่กับสถานการณ์จริง) หรือการเข้าถึงของเจ้าหน้าที่บริหารระบบหลัก และแม้กระทั่งการควบคุมระบบหลัก

 

ช่องโหว่ระดับร้ายแรงประกอบด้วย:

• อุปกรณ์หลายเครื่องที่เข้าถึงเครือข่ายภายใน
• การได้รับการเข้าถึง super administrator บน back-end หลัก ทำให้ข้อมูลหลักขององค์กรรั่วไหลและก่อให้เกิดผลกระทบอย่างรุนแรง
• การ overflow ของสัญญาอัจฉริยะ และช่องโหว่การแข่งขันที่มีเงื่อนไข

 

ช่องโหว่ที่มีความเสี่ยงสูง

• ได้รับการเข้าถึงระบบ (getshell, การเรียกใช้คำสั่ง, ฯลฯ)
• SQL injection ของระบบ (การ degrade ของช่องโหว่ back-end, การจัดลำดับความสำคัญของการส่งแพ็คเกจตามความเหมาะสม)
• การเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต รวมถึงแต่ไม่จำกัดเพียงการเข้าถึงเบื้องหลังการจัดการโดยตรงโดยการข้ามการตรวจสอบสิทธิ์, รหัสผ่าน back-end ที่โจมตีได้โดยวิธี brute force หรือเพื่อให้ได้ SSRF ของข้อมูลที่ละเอียดอ่อนในเครือข่ายภายใน ฯลฯ
• การอ่านเอกสารแบบไม่มีกฏเกณฑ์
• ช่องโหว่ XXE ที่สามารถเข้าถึงข้อมูลใดๆ ได้
• การดำเนินการที่ไม่ได้รับอนุญาตที่เกี่ยวข้องกับเงินหรือการ bypass ตรรกะการชำระเงิน (จำเป็นต้องใช้ให้ประสบความสำเร็จ)
• ข้อบกพร่องทางตรรกะและข้อบกพร่องของกระบวนการออกแบบที่ร้ายแรง ซึ่งรวมถึงแต่ไม่จำกัดเพียง ช่องโหว่ในการเข้าสู่ระบบของผู้ใช้, ช่องโหว่ของการแก้ไขรหัสผ่านบัญชีแบบกลุ่ม, ช่องโหว่ทางตรรกะที่เกี่ยวข้องกับธุรกิจหลักขององค์กร ฯลฯ ยกเว้นระเบิดรหัสยืนยัน (verification code explosion)
• ช่องโหว่อื่นๆ ที่ส่งผลกระทบต่อผู้ใช้ในระดับใหญ่ สิ่งเหล่านี้รวมถึงแต่ไม่จำกัดเพียง XSS ของพื้นที่เก็บข้อมูล ที่สามารถเผยแพร่โดยอัตโนมัติบนหน้าเว็บที่สำคัญ และ XSS ของพื้นที่เก็บข้อมูล ที่สามารถเข้าถึงข้อมูลการตรวจสอบสิทธิ์ของผู้ดูแลระบบ และสามารถใช้งานได้สำเร็จ
• การรั่วไหลของซอร์สโค้ด
• ข้อบกพร่องในการควบคุมการอนุญาตในสัญญาอัจฉริยะ

 

ช่องโหว่ที่มีความเสี่ยงปานกลาง

• ช่องโหว่ที่อาจส่งผลกระทบต่อผู้ใช้โดยปฏิสัมพันธ์ ซึ่งรวมถึงแต่ไม่จำกัดเพียง พื้นที่เก็บข้อมูล XSS ในหน้าทั่วไป, CSRF ที่เกี่ยวข้องกับธุรกิจหลัก ฯลฯ
• การดำเนินการทั่วไปที่ไม่ได้รับอนุญาต ไม่จำกัดเพียงการแก้ไขข้อมูลผู้ใช้และดำเนินการดำเนินการของผู้ใช้โดยการ bypass ข้อจำกัด
• ช่องโหว่ของการปฏิเสธการให้บริการ (denial-of-service) รวมถึงแต่ไม่จำกัดเพียง ช่องโหว่ของการปฏิเสธการให้บริการที่เกิดจากการปฏิเสธการให้บริการของเว็บแอปพลิเคชัน
• ช่องโหว่ที่เกิดจากการระเบิด (explosion) ที่ประสบความสำเร็จกับการทำงานที่ละเอียดอ่อนของระบบ เช่น การเข้าสู่ระบบบัญชีและการเข้าถึงรหัสผ่าน ฯลฯ เนื่องจากข้อบกพร่องทางตรรกะของรหัสยืนยัน
• การรั่วไหลของข้อมูลคีย์การตรวจสอบสิทธิ์ที่จัดเก็บไว้ภายใน ที่ละเอียดอ่อน ซึ่งจำเป็นต้องพร้อมใช้งานเพื่อการใช้งานที่มีประสิทธิภาพ

 

ช่องโหว่ที่มีความเสี่ยงต่ำ

• ช่องโหว่ของการปฏิเสธการให้บริการภายใน รวมถึงแต่ไม่จำกัดเพียง การปฏิเสธการให้บริการภายในของไคลเอ็นต์ (การแยกวิเคราะห์รูปแบบไฟล์, การขัดข้องที่เกิดจากโปรโตคอลของเครือข่าย), ปัญหาที่เกิดจากการเปิดเผยการอนุญาตส่วนประกอบของ Android, การเข้าถึงแอปพลิเคชันทั่วไป ฯลฯ
• การรั่วไหลของข้อมูลทั่วไป ไม่จำกัดเพียงเส้นทางเว็บ (Web path traversal), เส้นทางระบบ (system path traversal), การเรียกดูไดเรกทอรี ฯลฯ
• XSS (รวมถึง DOM XSS/Reflected XSS)
• CSRF ทั่วไป
• ช่องโหว่ของการข้าม URL
• ระเบิด SMS, ระเบิดจดหมาย (แต่ละระบบยอมรับช่องโหว่นี้เพียงประเภทเดียวเท่านั้น)
• ช่องโหว่อื่นๆ ที่เป็นอันตรายน้อยกว่า (และไม่สามารถพิสูจน์ได้ว่าเป็น เช่นช่องโหว่ CORS ที่ไม่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อน)
• ไม่มี return value และไม่มีการใช้ประโยชน์เชิงลึกของ SSRF ที่ประสบความสำเร็จ

 

ช่องโหว่ที่ไม่ได้รับการยอมรับในขณะนี้ (แม้ว่าจะมีการส่งช่องโหว่ดังกล่าว ก็จะถูกเพิกเฉ)

• การหลอกลวงทางอีเมล (Email spoofing)
• ช่องโหว่ user enumeration
• Self-XSS & HTML injection
• หน้าเว็บที่ขาดนโยบายความปลอดภัย CSP และ SRI
• ปัญหา CSRF สำหรับการดำเนินงานที่ไม่ละเอียดอ่อน
• ปัญหาที่แยกต่างหากเกี่ยวกับแอป Android android:allowBackup=”true” ซึ่งถูกปฏิเสธการให้บริการในเครื่อง ฯลฯ (ยกเว้นการใช้งานในเชิงลึก)
• ปัญหาเช่น การเปลี่ยนขนาดของรูปภาพ ทำให้มีการร้องขอช้า เป็นต้น
• ปัญหาการรั่วไหลของเวอร์ชัน เช่น NGINX เป็นต้น
• บั๊กการทำงานบางอย่างที่ไม่ก่อให้เกิดปัญหาความเสี่ยงด้านความปลอดภัย
• การโจมตีทางกายภาพต่อ Bybit/การโจมตีทางวิศวกรรมสังคมต่อพนักงาน Bybit

 

พฤติกรรมต้องห้าม

• ดำเนินการด้านวิศวกรรมสังคมและ/หรือการมีส่วนร่วมในฟิชชิง
• การรั่วไหลของรายละเอียดของช่องโหว่
• การทดสอบช่องโหว่จำกัดอยู่ที่ PoC (proof of concept) และการทดสอบที่เป็นการทำลายเป็นสิ่งต้องห้ามอย่างเคร่งครัด หากเกิดอันตรายโดยไม่ได้ตั้งใจในระหว่างการทดสอบ ควรรายงานให้ทันเวลา ในขณะเดียวกัน การดำเนินการที่ละเอียดอ่อนที่ดำเนินการในระหว่างการทดสอบ เช่น การลบ การแก้ไข และการดำเนินการอื่นๆ จะต้องได้รับการอธิบายในรายงาน
• การใช้เครื่องสแกนสำหรับการสแกนขนาดใหญ่ หากระบบธุรกิจหรือเครือข่ายไม่สามารถใช้งานได้ จะถูกจัดการตามกฎหมายที่เกี่ยวข้อง
• ผู้ที่ทดสอบช่องโหว่ควรพยายามหลีกเลี่ยงการแก้ไขหน้าเว็บโดยตรง, การเปิดกล่องข้อความต่อไป (แนะนำให้ใช้ DNSLog เพื่อการตรวจสอบ xss), การขโมยคุกกี้และ/หรือการรับภาระงานที่รุนแรง เช่น ข้อมูลผู้ใช้ (สำหรับการทดสอบ xss แบบปกปิดข้อมูล โปรดใช้ dnslog) หากคุณใช้ payload ที่ aggressive มากขึ้นโดยไม่ได้ตั้งใจ โปรดลบทันที มิฉะนั้น เรามีสิทธิ์ที่จะแสวงหาความรับผิดทางกฎหมายที่เกี่ยวข้อง