مركز الدعم
جولة تعريفية في المنصة
التحسين وتجربة المستخدم

برنامج Bybit لمكافأة اكتشاف الثغرات

logo
آخر تحديث في 2026-06-03 17:14:46
شارِك تجربتك

ما هي منهجية برنامج Bybit لمكافأة اك تشاف الثغرات وكيف يمكنك المشاركة في البرنامج؟

برنامج Bybit لمكافأة اكتشاف الثغرات مصمم لمكافأة الأفراد الذين يكتشفون الثغرات في منصة Bybit. إذا لاحظت أي ثغرة محتملة أو خطأ، يمكنك المشاركة في البرنامج من خلال متابعة الخطوات التالية:


الخطوة 1: اجمع جميع النتائج الخاصة بك في تنسيق أنيق ومنظم. تقديم صور GIF أو تسجيلات فيديو للخطأ سيكون محل تقدير كبير.


الخطوة 2: يُقدِّم تقرير الأمان ونتائجك عبر هذا النموذج واختر الخيار تداول واجهة برمجة التطبيقات / الإبلاغ عن ثغرة أمنية.


بالنسبة لتسجيلات الفيديو، يُرجى تحميلها إلى Google Drive وإرسال رابط المشاركة لنا. للمزيد من المعلومات حول كيفية القيام بذلك، يُرجى زيارة هنا.




هل برنامج LazarusBounty وبرنامج Bybit Bug Bounty هما نفس البرنامج؟

لا، هما ليسا نفس برنامج المكافآت. برنامج LazarusBounty مخصص لأولئك الذين يساعدون في تحديد وتجميد الأموال غير المشروعة، بينما برنامج Bybit Bug Bounty مخصص لأولئك الذين يلاحظون ويُقدِّمون تقارير عن الثغرات الأمنية على Bybit.



للحصول على معلومات أكثر تفصيلاً حول برنامج LazarusBounty، يُرجى الرجوع إلى هذا المقال.



قواعد البرنامج

تفاصيل حول مستويات الثغرات الأمنية

السلوكيات المحظورة

الثغرات خارج النطاق

سياسة الكشف






قواعد البرنامج

  1. يرجى تقديم تقارير مفصلة مع خطوات قابلة لإعادة الإنتاج. إذا لم يكن التقرير مفصلاً بما يكفي لإعادة إنتاج المشكلة، فلن تكون المشكلة مؤهلة للحصول على مكافأة.
  2. يُقدِّم ثغرة واحدة لكل تقرير، إلا إذا كنت بحاجة إلى ربط الثغرات لتقديم التأثير.
  3. عند حدوث تكرارات، نمنح المكافأة للتقرير الأول الذي تم الاستلام (شرط أن يمكن إعادة إنتاجه بالكامل).
  4. الثغرات المتعددة الناجمة عن مشكلة واحدة في الأصل الأساسي سيتم منحها مكافأة واحدة.
  5. الهندسة الاجتماعية (مثل التصيد، والهندسة الصوتية، والاحتيال عبر الرسائل) محظورة.
  6. ابذل جهدًا حسن النية لتجنب انتهاكات الخصوصية، وتدمير البيانات، وانقطاع أو تدهور خدمتنا. تفاعل فقط مع الحسابات التي تملكها أو بإذن صريح من صاحب الحساب.
  7. تجنب استخدام أدوات المسح الآلي، حيث لا يمكن قبول الطلبات التي تُعرف من خلال هذه الوسائل.
  8. تجنب التأثيرات السلبية أو الإجراءات المفككة التي قد تؤثر على توفر خدماتنا (مثال: DoS/DDoS)
  9. خطة الاختبار
  10. إذا كنت مهتمًا باختبار الميزات المتعلقة بالأصول ولكنك تفتقر إلى الأصول اللازمة لإجراء الاختبار، يمكنك تسجيل الحسابات وتطبيق الرموز الاختبارية في لوحة معلومات الأصول عبر https://testnet.bybit.com. (*يرجى ملحوظة أن Testnet يستخدم عملات اختبارية لا تحمل أي قيمة حقيقية. لضمان استمتاع المستخدمين بتجربة مثلى مع منتجاتنا، اخترنا عدم فرض قيود 2FA شديدة. وبالتالي، لن تُقبل تقارير عن تجاوز 2FA على Testnet).






التفاصيل حول مستويات الثغرات الأمنية

ما هي المكافأة المقدمة عند الموافقة على ثغرة أمنية؟

يرجى الرجوع إلى الجدول أدناه للحصول على المكافأة المتوفرة بناءً على مستوى الثغرة الأمنية المكتشفة.


المستوى

المكافأة

منخفض

150 إلى 600 USDT

متوسط

600 إلى 1,500 USDT

مرتفع

1,500 إلى 5,000 USDT

حرجة

5,000 إلى 10,000 USDT




كيف يتم تعريف المستويات المختلفة للأخطاء/الثغرات الأمنية؟

يرجى الرجوع إلى القائمة أدناه للمزيد من المعلومات:


الثغرات الحرجة

تشير الثغرة الحرجة إلى تلك التي تحدث في نظام الأعمال الأساسية (نظام التحكم الأساسي، التحكم الميداني، نظام توزيع الأعمال، آلة الحصن أو أي مركز سيطرة يمكنه إدارة عدد كبير من الأنظمة). يمكن أن تسبب تأثيرًا شديدًا، والحصول على وصول إلى نظام التحكم في الأعمال (اعتمادًا على الحالة الفعلية) أو وصول موظفي إدارة النظام الأساسي، وحتى التحكم في النظام الأساسي.


تشمل الثغرة الحرجة، على سبيل المثال لا الحصر:

  1. وصول أجهزة متعددة إلى الشبكة الداخلية
  2. الوصول إلى وصول المشرف الفائق للواجهة الخلفية الأساسية، وتسريب بيانات المؤسسة الأساسية، والتسبب في تأثير شديد
  3. تجاوز العقد الذكي وثغرة المنافسة الشرطية



ثغرات عالية المخاطر

  1. الحصول على وصول النظام (الحصول على مجموعة الصدفة، تنفيذ الأوامر، إلخ.)
  2. حقن SQL للنظام (انحدار ثغرة الواجهة الخلفية، أولوية تقديم الحزمة حسب الحاجة)
  3. الحصول على وصول غير مصرح به إلى معلومات حساسة، بما في ذلك على سبيل المثال لا الحصر الوصول المباشر إلى الخلفية الإدارية عن طريق تجاوز المصادقة، أو الهجوم بالقوة الغاشمة على كلمات المرور الخلفية، أو الحصول على SSRF للمعلومات الحساسة في الشبكة الداخلية، إلخ.
  4. قراءة الوثائق التعسفية
  5. ثغرة XXE التي يمكنها الوصول إلى أي معلومات
  6. عملية غير مصرح بها تتضمن منطق الأموال أو الدفع بمجاوزة (تحتاج إلى استخدامها بنجاح)
  7. عيوب تصميم منطقية خطيرة وعيوب في العمليات. يتضمن ذلك، على سبيل المثال لا الحصر، أي ضعف في تسجيل دخول المستخدم، ضعف في تعديل كلمة مرور الحساب الدفعي، الضعف المنطقي المتعلق بالأعمال الأساسية للمؤسسة، إلخ، باستثناء تفجير رمز التحقق
  8. ضعف آخر يؤثر على المستخدمين على نطاق واسع. تشمل هذه الثغرات على سبيل المثال لا الحصر التخزين XSS الذي يمكن أن يُنتشر تلقائيًا على الصفحات المهمة، والتخزين XSS الذي يمكنه الوصول إلى معلومات مصادقة المسؤول واستخدامها بنجاح
  9. تسريب الشيفرة المصدرية
  10. عيوب التحكم في الأذونات في العقد الذكي



ثغرات متوسطة الخطورة

  1. ثغرة يمكن أن تؤثر على المستخدمين من خلال التفاعل، بما في ذلك على سبيل المثال لا الحصر التخزين XSS على الصفحات العامة، وهجمات CSRF التي تتضمن الأعمال الأساسية
  2. تشغيل غير مصرح به بشكل عام، لا يقتصر على تعديل بيانات المستخدم وإجراء عمليات المستخدم بتجاوز القيود
  3. ثغرات رفض الخدمة، بما في ذلك على سبيل المثال لا الحصر ثغرات رفض الخدمة عن بعد الناتجة عن رفض خدمة تطبيقات الويب
  4. الثغرات الناجمة عن انفجار ناجح مع العمليات الحساسة للنظام، مثل أي تسجيل دخول في الحساب وكلمة المرور الوصول، إلخ، بسبب عيوب منطق رمز التحقق
  5. تسرب المعلومات المفاتيح الحساسة المصادق عليها المخزنة محليًا، والتي تحتاج إلى أن تكون متوفرة لاستخدام فعال



الثغرات منخفضة المخاطر

  1. تشمل ثغرات حجب الخدمة المحلية لكن ليست محصورة بها، حجب الخدمة المحلي للعميل (تحليل صيغ الملفات، الأعطال الناجمة عن بروتوكولات الشبكة)، المشاكل الناجمة عن كشف أذونات المكونات في Android، الوصول العام للتطبيقات، إلخ.
  2. تسرب المعلومات العامة لا يقتصر على تجاوز مسار الويب، تجاوز مسار النظام، تصفح الدليل، إلخ.
  3. XSS (بما في ذلك DOM XSS/Reflected XSS)
  4. CSRF العامة
  5. ثغرة تخطي رابط URL
  6. قنابل الرسائل النصية القصيرة، قنابل البريد الإلكتروني (كل نظام يقبل نوعًا واحدًا فقط من هذه الثغرة).
  7. ثغرات أخرى أقل ضررًا (ولا يمكن إثبات أنها كذلك، مثل ثغرات CORS التي لا يمكنها الوصول إلى المعلومات الحساسة)
  8. لا قيمة مرجعة ولا استخدام مُستَخدَم منه متعمق لعملية ناجحة لـ SSRF






السلوكيات المحظورة

  1. تنفيذ الهندسة الاجتماعية و/أو الانخراط في التصيد الاحتيالي
  2. تسريب التفاصيل لثغرة أمنية
  3. يقتصر اختبار الثغرات على إثبات المفهوم (PoC)، ويُمنع منعاً باتاً إجراء الاختبارات التدميرية. إذا تم التسبب في أي ضرر عن غير قصد أثناء الاختبار، يجب الإبلاغ عنه في الوقت المناسب. في غضون ذلك، يجب شرح العمليات الحساسة التي تُجرى أثناء الاختبار، مثل الحذف، التعديل، والعمليات الأخرى في التقرير
  4. استخدام ماسح ضوئي لمسح واسع النطاق. إذا أصبح نظام الأعمال أو الشبكة غير متوفر، فسيتم التعامل معه وفقًا للقوانين ذات الصلة
  5. يجب على من يقوم باختبار الثغرات محاولة تجنب تعديل الصفحة مباشرة، أو الاستمرار في إظهار نافذة الرسائل (يوصى باستخدام DNSLog للتحقق من xss)، وسرقة ملفات تعريف الارتباط و/أو الحصول على حمولة هجومية مثل معلومات المستخدم (لاختبار xss الأعمى، يرجى استخدام dnslog). إذا كنت قد استخدمت عن طريق الخطأ حمولة أكثر عدوانية، يرجى حذفها فورًا. خلاف ذلك، لدينا الحق في متابعة المسؤوليات القانونية ذات الصلة.






ثغرات خارج النطاق

عند الإبلاغ عن الثغرات، يرجى مراعاة (1) سيناريو الهجوم/قابلية الاستغلال، و(2) تأثير الأمان للخلل. تعتبر القضايا التالية خارج النطاق:

  1. أي نشاط يمكن أن يؤدي إلى تعطيل خدمتنا (DoS، DDoS).
  2. الهندسة الاجتماعية لموظفينا أو المتعاقدين معنا، ما لم يتم التصريح لها صراحة.
  3. الهجمات ضد مرافقنا المادية، ما لم تكن مصرح بها صراحة.
  4. الهجمات التي تتطلب الوصول المادي إلى جهاز المستخدم، ما لم يكن الجهاز ضمن النطاق ومُحَصَّنًا صراحة ضد الوصول المادي.
  5. الهجمات التي تتطلب تعطيل حماية Man In The Middle (MITM).
  6. الهجمات تؤثر فقط على المتصفحات أو أنظمة التشغيل القديمة.
  7. غياب أفضل الممارسات (تهيئة SSL/TLS، سياسات الأمان للمحتوى، علامات الكوكي، اختراق التبويب، سمة الإكمال التلقائي، سجلات البريد الإلكتروني SPF/DKIM/DMARC)، ما لم يتم إثبات تأثير كبير.
  8. التلاعب بزر التصفية أو تزوير طلب عبر المواقع (CSRF) على الصفحات/النماذج غير الموثقة التي لا تحتوي على إجراءات حساسة.
  9. إعادة التوجيه المفتوحة، ما لم يتم إثبات تأثير كبير.
  10. الاستغلال الذاتي (XSS الذاتي، الإنكار الذاتي للخدمة، إلخ.)، ما لم يتم إثبات طريقة للهجوم على مستخدم آخر.
  11. تزييف المحتوى وحقن النصوص وحقن CSV، ما لم يتم إثبات تأثير كبير.
  12. كشف إصدار البرنامج / مشاكل تعرف الشعارات / رسائل الخطأ الوصفية أو تتبعات الأخطاء.
  13. القضايا التي تتطلب تفاعل المستخدم غير المعتاد من الضحية.
  14. أي هجوم يتطلب من المستخدم التفاعل مع عقد من موقع ويب يتحكم فيه المهاجم
  15. نقاط الضعف الخاصة بالسلسلة مستثناة، (مثلًا قضايا EVM أو مشكلات تشغيل Solana)
  16. نقاط الضعف المدمجة في DApp مستثناة (مثلًا Uniswap، Curve، GMX، 1inch)






سياسة الكشف

يرجى عدم مناقشة هذا البرنامج أو أي نقاط ضعف (حتى تلك التي تم حلها) خارج البرنامج دون موافقة سريعة من المنظمة.


هل كان مفيدًا؟
المقالات ذات الصلة
استكشاف الأخطاء وإصلاحها: الحصول على ملف HAR من متصفح الويب الخاص بكاستكشاف الأخطاء وإصلاحها: إرسال فيديو تسجيل الشاشة إلى Bybitكيفية مسح ذاكرة التخزين المؤقت وملفات تعريف الارتباط لمتصفحات مختلفةكيفية تقديم تذكرة دعم وتتبع حالتها