Chương Trình Săn Lỗ Hổng Của Bybit

Phương pháp chương trình Săn Lỗ Hổng của Bybit là gì và bạn có thể tham gia chương trình như thế nào?

Chương trình Săn Lỗ Hổng của Bybit được thiết kế để thưởng cho những cá nhân xác định các lỗ hổng bảo mật trong nền tảng của Bybit. Nếu bạn nhận thấy bất kỳ lỗ hổng hoặc lỗi tiềm ẩn nào, bạn có thể tham gia chương trình bằng cách làm theo các bước sau:

 

Bước 1: Hợp nhất tất cả các phát hiện của bạn ở định dạng gọn gàng và có sắp xếp. Việc cung cấp ảnh GIF hoặc bản ghi video về lỗi sẽ được đánh giá cao nhất. 

 

Bước 2: Gửi báo cáo và phát hiện bảo mật của bạn qua biểu mẫu này và chọn tùy chọn Giao Dịch API / Báo Cáo Lỗ Hổng Bảo Mật.

 

Để quay video, vui lòng tải lên Google Drive và gửi cho chúng tôi liên kết có thể chia sẻ. Để biết thêm thông tin về cách thực hiện, vui lòng truy cập tại đây.

 

 

 

Chương Trình LazarusBounty và Chương Trình Săn Lỗ Hổng của Bybit có giống nhau không?

Không, đây không phải là cùng một chương trình thưởng. Chương Trình LazarusBounty được thiết kế cho những người hỗ trợ xác định và đóng băng các khoản tiền bất hợp pháp, trong khi Chương Trình Săn Lổ Hổng Bybit được thiết kế cho những người nhận thấy và gửi báo cáo về các lỗ hổng bảo mật trên Bybit.

 

 

Để biết thêm thông tin chi tiết về Chương Trình LazarusBounty, vui lòng tham khảo bài viết này.

 

 

• Quy Tắc Chương Trình
• Chi Tiết Về Mức Độ Lỗ Hổng
• Hành Vi Bị Cấm
• Các lỗ hổng ngoài phạm vi
• Chính Sách Tiết Lộ

 

 

 

 

Quy Tắc Chương Trình

1. Vui lòng cung cấp báo cáo chi tiết với các bước có thể tái hiện lại. Nếu báo cáo không đủ chi tiết để tái hiện vấn đề, báo cáo sẽ không đủ điều kiện nhận thưởng.

2. Gửi một lỗ hổng bảo mật trong mỗi báo cáo, trừ khi bạn cần chuỗi lỗ hổng bảo mật để tạo tác động.

3. Khi xảy ra trùng lặp, chúng tôi chỉ trao báo cáo đầu tiên nhận được (với điều kiện có thể tái hiện lại đầy đủ lỗ hổng đó).

4. Nhiều lỗ hổng bảo mật do một vấn đề cơ bản gây ra sẽ được trao một phần thưởng.

5. Nghiêm cấm tấn công phi kỹ thuật (ví dụ: lừa đảo, lừa đảo, lừa đảo qua tin nhắn)

6. Nỗ lực một cách thiện chí để tránh vi phạm quyền riêng tư, phá hủy dữ liệu và gián đoạn hoặc suy giảm dịch vụ của chúng tôi. Chỉ tương tác với các tài khoản bạn sở hữu hoặc với sự cho phép rõ ràng của chủ tài khoản.

7. Tránh sử dụng các công cụ quét tự động vì các nội dung gửi được xác định thông qua các phương tiện đó không thể được chấp nhận.

8. Tránh các hành động tác động tiêu cực hoặc gây gián đoạn có thể ảnh hưởng đến tính khả dụng của các dịch vụ của chúng tôi (ví dụ: DoS/DDoS)

9. Kế Hoạch Thử Nghiệm

• Nếu bạn quan tâm đến việc thử nghiệm các tính năng liên quan đến tài sản của chúng tôi, nhưng thiếu các công cụ cần thiết để tiến hành thử nghiệm, bạn có thể đăng ký tài khoản và áp dụng token thử nghiệm trong bảng điều khiển tài sản qua https://testnet.bybit.com. (*Xin lưu ý rằng Testnet sử dụng test coin không có giá trị thực. Để đảm bảo người dùng tận hưởng trải nghiệm tối ưu với các sản phẩm của mình, chúng tôi đã chọn không áp đặt các hạn chế 2FA nghiêm ngặt. Do đó, các báo cáo về việc bỏ qua 2FA trên Testnet sẽ không được chấp nhận).

 

 

 

 

 

Chi Tiết Về Mức Độ Lỗ Hổng

Phần thưởng lỗi được trao khi lỗ hổng bảo mật được chấp thuận là gì?

Vui lòng tham khảo bảng dưới đây để biết phần thưởng lỗi khả dụng dựa trên mức độ lỗ hổng được phát hiện.

 

 

 

 

Các mức độ lỗi/lỗi khác nhau được xác định như thế nào?

Vui lòng tham khảo danh sách dưới đây để biết thêm thông tin:

 

Lỗ hổng nghiêm trọng

Lỗ hổng nghiêm trọng đề cập đến lỗ hổng xảy ra trong hệ thống kinh doanh cốt lõi (hệ thống điều khiển cốt lõi, điều khiển thực địa, hệ thống phân phối kinh doanh, máy fortress hoặc vị trí điều khiển khác có thể quản lý một số lượng lớn hệ thống). Nó có thể gây ra tác động nghiêm trọng, có quyền truy cập kiểm soát hệ thống kinh doanh (tùy thuộc vào tình hình thực tế) hoặc quyền truy cập của nhân viên quản lý hệ thống cốt lõi và thậm chí kiểm soát hệ thống cốt lõi.

 

Lỗ hổng nghiêm trọng bao gồm, nhưng không giới hạn ở:

• Nhiều thiết bị truy cập mạng nội bộ

• Lấy được quyền truy cập siêu quản trị viên back-end cốt lõi, rò rỉ dữ liệu cốt lõi của doanh nghiệp và gây ra tác động nghiêm trọng

• Rò rỉ hợp đồng thông minh và lỗ hổng cạnh tranh có điều kiện

 

 

Lỗ hổng rủi ro cao

• Có quyền truy cập hệ thống (getshell, thực hiện lệnh, v.v.)

• System SQL injection (suy thoái lỗ hổng back-end, ưu tiên gửi gói nếu thích hợp)

• Có quyền truy cập trái phép vào thông tin nhạy cảm, bao gồm nhưng không giới hạn ở quyền truy cập trực tiếp vào nền tảng quản lý bằng cách bỏ qua xác thực, mật khẩu back-end có thể tấn công brute force hoặc lấy SSRF thông tin nhạy cảm trong mạng nội bộ, v.v.

• Đọc tài liệu tùy ý

• Lỗ hổng XXE có thể truy cập bất kỳ thông tin nào

• Hoạt động trái phép liên quan đến việc bỏ qua logic thanh toán hoặc tiền (cần được sử dụng thành công)

• Lỗi thiết kế logic nghiêm trọng và lỗi quy trình. Điều này bao gồm, nhưng không giới hạn ở, bất kỳ lỗ hổng đăng nhập nào của người dùng, lỗ hổng sửa đổi số lượng lớn mật khẩu tài khoản, lỗ hổng logic liên quan đến hoạt động cốt lõi của doanh nghiệp, v.v., ngoại trừ sự bùng nổ mã xác minh

• Các lỗ hổng bảo mật khác ảnh hưởng đến người dùng trên quy mô lớn. Các yếu tố này bao gồm nhưng không giới hạn ở XSS lưu trữ có thể được tự động truyền lên trên các trang quan trọng và XSS lưu trữ có thể truy cập thông tin xác thực quản trị viên và được sử dụng thành công

• Rò rỉ mã nguồn

• Lỗi kiểm soát quyền trong hợp đồng thông minh

 

 

Lỗ hổng rủi ro trung bình

• Lỗ hổng có thể ảnh hưởng đến người dùng theo tương tác, bao gồm nhưng không giới hạn ở lưu trữ XSS trên các trang chung, CSRF liên quan đến hoạt động kinh doanh cốt lõi, v.v.

• Hoạt động trái phép nói chung, không giới hạn ở việc sửa đổi dữ liệu người dùng và thực hiện hoạt động của người dùng bằng cách bỏ qua các hạn chế

• Các lỗ hổng từ chối dịch vụ, bao gồm nhưng không giới hạn ở các lỗ hổng từ chối dịch vụ từ xa do từ chối dịch vụ của các ứng dụng web

• Lỗ hổng do vụ nổ thành công với thao tác nhạy cảm với hệ thống, chẳng hạn như bất kỳ đăng nhập tài khoản và truy cập mật khẩu nào, v.v., do lỗi logic mã xác minh

• Rò rỉ thông tin mã xác thực nhạy cảm, được lưu trữ cục bộ, cần có sẵn để sử dụng hiệu quả

 

 

Lỗ hổng rủi ro thấp

• Các lỗ hổng từ chối dịch vụ cục bộ bao gồm nhưng không giới hạn ở việc từ chối dịch vụ cục bộ của máy khách (định dạng tệp phân đoạn, sự cố do giao thức mạng tạo ra), các vấn đề do tiếp xúc với quyền truy cập thành phần Android, quyền truy cập ứng dụng chung, v.v.

• Rò rỉ thông tin chung không chỉ giới hạn ở chuyển tiếp đường dẫn web, chuyển tiếp đường dẫn hệ thống, duyệt thư mục, v.v.

• XSS (bao gồm DOM XSS/Reflected XSS)

• CSRF Chung

• Lỗ hổng bỏ qua URL

• Bom SMS, bom thư (mỗi hệ thống chỉ chấp nhận một loại lỗ hổng này).

• Các lỗ hổng bảo mật khác ít có hại hơn (và không thể được chứng minh là có, chẳng hạn như lỗ hổng bảo mật CORS không thể truy cập thông tin nhạy cảm) 

• Không có giá trị lợi nhuận và không sử dụng SSRF thành công theo chiều sâu

 

 

 

 

 

Hành Vi Bị Cấm

• Tiến hành tấn công phi kỹ thuật và/hoặc tham gia lừa đảo

• Rò rỉ thông tin chi tiết về lỗ hổng bảo mật

• Testing lỗ hổng bị giới hạn ở PoC (Proof of concept), và testing phá hủy bị nghiêm cấm. Nếu vô tình gây hại trong quá trình xét nghiệm, cần báo cáo kịp thời. Trong khi đó, các hoạt động nhạy cảm được thực hiện trong quá trình kiểm tra, chẳng hạn như xóa, sửa đổi và các hoạt động khác, phải được giải thích trong báo cáo

• Sử dụng máy quét để quét quy mô lớn. Nếu hệ thống kinh doanh hoặc mạng lưới trở nên không khả dụng, tester sẽ được xử lý theo luật pháp có liên quan

• Những người kiểm tra lỗ hổng bảo mật nên cố gắng tránh sửa đổi trang trực tiếp, tiếp tục bật hộp thông báo (DNSLog được khuyến nghị để xác minh xss), đánh cắp cookie và/hoặc có được tải trọng tích cực như thông tin người dùng (đối với testing xss mù, vui lòng sử dụng dnslog). Nếu bạn vô tình sử dụng tải trọng mạnh hơn, vui lòng xóa ngay. Nếu không, chúng tôi có quyền theo đuổi các biện pháp pháp lý liên quan.

 

 

 

 

 

Các lỗ hổng ngoài phạm vi

Khi báo cáo các lỗ hổng bảo mật, vui lòng xem xét (1) tình huống tấn công/khả năng khai thác và (2) tác động bảo mật của lỗi. Các vấn đề sau đây được coi là nằm ngoài phạm vi:

• Bất kỳ hoạt động nào có thể dẫn đến gián đoạn dịch vụ của chúng tôi (DoS, DDoS).

• Tấn công phi kỹ thuật lên nhân viên hoặc nhà thầu của chúng tôi, trừ khi được cho phép rõ ràng.

• Các cuộc tấn công vào các cơ sở vật chất của chúng tôi, trừ khi được cho phép rõ ràng.

• Các cuộc tấn công yêu cầu quyền truy cập vật lý vào thiết bị của người dùng, trừ khi thiết bị nằm trong phạm vi và cứng rõ ràng chống lại quyền truy cập vật lý.

• Các cuộc tấn công yêu cầu vô hiệu hóa các biện pháp bảo vệ Man In The Middle (MITM).

• Các cuộc tấn công chỉ ảnh hưởng đến các trình duyệt hoặc hệ điều hành lỗi thời.

• Thiếu các phương pháp hay nhất (cấu hình SSL/TLS, Chính Sách Bảo Mật Nội Dung, cờ cookie, tabnabbing, thuộc tính tự động hoàn thành, email hồ sơ SPF/DKIM/DMARC), trừ khi có thể chứng minh được tác động đáng kể.

• Clickjacking hoặc Giả mạo Yêu cầu Chéo Trang (CSRF) trên các trang/biểu mẫu chưa được xác thực mà không có hành động nhạy cảm.

• Chuyển hướng mở, trừ khi có thể chứng minh được tác động đáng kể.

• Tự khai thác (self XSS, self-denial-of-service, v.v.), trừ khi có thể chứng minh phương pháp tấn công một người dùng khác.

• Giả mạo nội dung, text injection và CSV injection, trừ khi có thể chứng minh được tác động đáng kể.

• Tiết lộ phiên bản phần mềm / Vấn đề nhận dạng banner / Thông báo lỗi mô tả hoặc dấu vết stack.

• Các vấn đề yêu cầu nạn nhân tương tác với người dùng mà hiếm xảy ra.

• Bất kỳ cuộc tấn công nào yêu cầu người dùng tương tác với hợp đồng từ trang web do kẻ tấn công kiểm soát

• Các lỗ hổng cụ thể của chuỗi bị loại trừ (ví dụ: các vấn đề về thời gian chạy EVM hoặc Solana)

• Các lỗ hổng Dapp tích hợp bị loại trừ (ví dụ: Uniswap、Curve、GMX、1 inch)

 

 

 

 

 

Chính Sách Tiết Lộ

Vui lòng không thảo luận về chương trình này hoặc bất kỳ lỗ hổng bảo mật nào (thậm chí là các lỗ hổng đã được giải quyết) bên ngoài chương trình mà không có sự đồng ý rõ ràng từ tổ chức.