标题
Bybit 漏洞赏金计划
2024-12-07 19:08:26
Bybit 有安全漏洞与威胁情报赏金计划吗?
是的,Bybit 有安全漏洞与威胁情报赏金计划。 如果您发现 Bybit 存在漏洞并希望获得赏金,请参考以下步骤:
第 1 步:以整洁有序的格式整合所有发现。若能提供该错误的 GIF 或视频记录将不胜感激。
第 2 步:通过此表格提交您的安全报告和调查结果,然后选择 API 交易/汇报系统安全漏洞 选项。
对于视频录制,请将其上传到 Google Drive 并将分享链接发送给我们。 有关如何执行此操作的更多信息,请参考此处。
当安全漏洞与威胁情报被批准时,奖励是多少?
请参阅以下列表来了解根据检测到的漏洞级别所提供的奖励。
|
|
|
|
|
|
|
|
|
|
如何定义不同级别的错误/漏洞?
请参阅以下列表获取更多信息:
严重漏洞
严重漏洞是指发生在核心业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统)中的漏洞。此类漏洞可造成大面积影响,获取业务系统控制权限(视具体情况而定),获取核心系统管理人员权限,甚至是控制核心系统。
重大漏洞包括但不限于:
- 控制内网多台设备。
- 获取核心后台超级管理员权限,企业核心数据泄露,可造成严重影响。
- 智能合约溢出和条件竞争漏洞。
高危漏洞
- 获取系统权限(GetShell、命令执行 等)。
- 系统 SQL 注入(后台漏洞降级、打包提交酌情优先处理)。
- 敏感信息越权访问,包括但不限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的 SSRF 等。
- 读取任意文件。
- XXE 漏洞,可访问任何信息。
- 涉及资金的未授权交易或绕过支付逻辑(需最终利用成功)。
- 严重的逻辑设计缺陷和流程缺陷,包括但不限于任意用户登录漏洞、批量修改任意账户密码漏洞、涉及企业核心业务的逻辑漏洞等,验证码爆破除外。
- 大范围影响用户的其他漏洞,包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等。
- 大量源代码泄露。
- 智能合约许可控制缺陷。
中危漏洞
- 交互后才会影响用户的漏洞,包括但不限于存储型 XSS、涉及核心业务的 CSRF 等。
- 平行越权操作,包括但不限于绕过限制修改用户数据、执行用户操作等。
- 拒绝服务 (DoS) 漏洞,包括但不限于由 DoS 网络应用程序造成的远程 DoS 漏洞。
- 由验证码逻辑缺陷导致任意账户登录、任意密码找回等由于系统敏感操作可成功爆破而造成的漏洞。
- 本地保存的敏感认证密钥信息泄露,需能进行有效利用。
低危漏洞
- 本地 DoS 漏洞包括但不限于客户端本地 DoS(正在解析文件格式、网络协议生成的崩溃)、由 Android 组件许可暴露导致的问题、常规应用程序访问等。
- 常规信息泄露,包括但不限于网页路径遍历、系统路径遍历、目录浏览等。
- XSS(包括 DOM XSS/反射 XSS)。
- 常规 CSRF。
- URL 跳转漏洞。
- 短信炸弹、邮件炸弹(每个系统仅接受一类此种漏洞)。
- 其他危害较低、不能证明危害的漏洞(如无法获取到敏感信息的 CORS 漏洞)。
- 未返回值且没有深入利用成功的 SSRF。
暂不接受的漏洞类型(提交后将被忽略)
- 电子邮件欺骗。
- 用户枚举漏洞。
- Self-XSS 和 HTML 注入。
- 网页缺失 CSP 和 SRI 安全策略。
- 非敏感操作的 CSRF 问题。
- 单独的 Android App android:allowBackup=”true” 问题,本地拒绝服务问题等(深入利用的除外)。
- 修改图片尺寸造成的请求缓慢等问题。
- Nginx 等版本泄露问题。
- 一些功能问题,无法造成安全风险。
- 人身攻击 Bybit 员工/对 Bybit 员工进行社交工程。
禁止以下行为
- 开展社交工程和/或参与网络钓鱼。
- 泄露漏洞的具体信息。
- 漏洞测试仅限 PoC(概念证明),严禁破坏性测试。如测试过程中意外造成危害,应及时上报。此外,测试期间如进行删除、修改及其他敏感操作,均必须在报告中说明。
- 大规模扫描请使用扫描工具。如果业务系统或网络无法使用,将根据相关法律进行处理。
- 漏洞测试应尽量避免直接修改页面、继续弹出消息框(XSS 验证建议使用 DNSLog)、窃取 Cookie 以及/或者获取等入侵式负载,例如获取用户信息(XSS 盲测请使用 DNSLog)。如果您意外使用了入侵式负载,请立即将其删除。否则,我们有权追究相关法律责任。
这篇文章有帮助吗?
有没有