标题
    Bybit 漏洞赏金计划
    bybit2024-12-07 19:08:26

    Bybit 有安全漏洞与威胁情报赏金计划吗?

    是的,Bybit 有安全漏洞与威胁情报赏金计划。 如果您发现 Bybit 存在漏洞并希望获得赏金,请参考以下步骤:

    第 1 步:以整洁有序的格式整合所有发现。若能提供该错误的 GIF 或视频记录将不胜感激。

    第 2 步:通过此表格提交您的安全报告和调查结果,然后选择 API 交易/汇报系统安全漏洞 选项。

    对于视频录制,请将其上传到 Google Drive 并将分享链接发送给我们。 有关如何执行此操作的更多信息,请参考此处

     

    当安全漏洞与威胁情报被批准时,奖励是多少?

    请参阅以下列表来了解根据检测到的漏洞级别所提供的奖励。
     

    级别

    奖励

    低危

    50 to 200 USDT

    中危

    500 to 1000 USDT

    高危

    1000 to 2000 USDT

    严重

    2500 to 4000 USDT


     

    如何定义不同级别的错误/漏洞?

    请参阅以下列表获取更多信息:
     

    严重漏洞

    严重漏洞是指发生在核心业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统)中的漏洞。此类漏洞可造成大面积影响,获取业务系统控制权限(视具体情况而定),获取核心系统管理人员权限,甚至是控制核心系统。

     

    重大漏洞包括但不限于:

    • 控制内网多台设备。
    • 获取核心后台超级管理员权限,企业核心数据泄露,可造成严重影响。
    • 智能合约溢出和条件竞争漏洞。

     

    高危漏洞

    • 获取系统权限(GetShell、命令执行 等)。
    • 系统 SQL 注入(后台漏洞降级、打包提交酌情优先处理)。
    • 敏感信息越权访问,包括但不限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的 SSRF 等。
    • 读取任意文件。
    • XXE 漏洞,可访问任何信息。
    • 涉及资金的未授权交易或绕过支付逻辑(需最终利用成功)。
    • 严重的逻辑设计缺陷和流程缺陷,包括但不限于任意用户登录漏洞、批量修改任意账户密码漏洞、涉及企业核心业务的逻辑漏洞等,验证码爆破除外。
    • 大范围影响用户的其他漏洞,包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等。
    • 大量源代码泄露。
    • 智能合约许可控制缺陷。

     

    中危漏洞

    • 交互后才会影响用户的漏洞,包括但不限于存储型 XSS、涉及核心业务的 CSRF 等。
    • 平行越权操作,包括但不限于绕过限制修改用户数据、执行用户操作等。
    • 拒绝服务 (DoS) 漏洞,包括但不限于由 DoS 网络应用程序造成的远程 DoS 漏洞。
    • 由验证码逻辑缺陷导致任意账户登录、任意密码找回等由于系统敏感操作可成功爆破而造成的漏洞。
    • 本地保存的敏感认证密钥信息泄露,需能进行有效利用。

     

    低危漏洞

    • 本地 DoS 漏洞包括但不限于客户端本地 DoS(正在解析文件格式、网络协议生成的崩溃)、由 Android 组件许可暴露导致的问题、常规应用程序访问等。
    • 常规信息泄露,包括但不限于网页路径遍历、系统路径遍历、目录浏览等。
    • XSS(包括 DOM XSS/反射 XSS)。
    • 常规 CSRF。
    • URL 跳转漏洞。
    • 短信炸弹、邮件炸弹(每个系统仅接受一类此种漏洞)。
    • 其他危害较低、不能证明危害的漏洞(如无法获取到敏感信息的 CORS 漏洞)。
    • 未返回值且没有深入利用成功的 SSRF。

     

    暂不接受的漏洞类型(提交后将被忽略)

    • 电子邮件欺骗。
    • 用户枚举漏洞。
    • Self-XSS 和 HTML 注入。
    • 网页缺失 CSP 和 SRI 安全策略。
    • 非敏感操作的 CSRF 问题。
    • 单独的 Android App android:allowBackup=”true” 问题,本地拒绝服务问题等(深入利用的除外)。
    • 修改图片尺寸造成的请求缓慢等问题。
    • Nginx 等版本泄露问题。
    • 一些功能问题,无法造成安全风险。
    • 人身攻击 Bybit 员工/对 Bybit 员工进行社交工程。

     

    禁止以下行为

    • 开展社交工程和/或参与网络钓鱼。
    • 泄露漏洞的具体信息。
    • 漏洞测试仅限 PoC(概念证明),严禁破坏性测试。如测试过程中意外造成危害,应及时上报。此外,测试期间如进行删除、修改及其他敏感操作,均必须在报告中说明。
    • 大规模扫描请使用扫描工具。如果业务系统或网络无法使用,将根据相关法律进行处理。
    • 漏洞测试应尽量避免直接修改页面、继续弹出消息框(XSS 验证建议使用 DNSLog)、窃取 Cookie 以及/或者获取等入侵式负载,例如获取用户信息(XSS 盲测请使用 DNSLog)。如果您意外使用了入侵式负载,请立即将其删除。否则,我们有权追究相关法律责任。
    这篇文章有帮助吗?
    yesyes没有