標題
    Bybit 漏洞賞金計劃
    bybit2023-09-08 08:52:02

    Bybit 有安全漏洞與威脅情報賞金計劃嗎?

    是的,Bybit 有安全漏洞與威脅情報賞金計劃。如果您發現 Bybit 存在漏洞並希望獲得賞金,請參考以下步驟:

    第 1 步:以整潔有序的格式整合所有發現。若能提供該錯誤的 GIF 或視頻記錄將不勝感激。

    第 2 步:通過此表格提交您的安全報告和調查結果,然後選擇 API 交易/匯報系統安全漏洞 選項。

    對於視頻錄製,請將其上傳到 Google Drive 並將分享鏈接發送給我們。有關如何執行此操作的更多信息,請參考此處

     

    當安全漏洞與威脅情報被批准時,獎勵是多少?

    請參閱以下列表來了解根據檢測到的漏洞級別所提供的獎勵。
     

    級別

    獎勵

    低危

    50 to 200 USDT

    中危

    500 to 1000 USDT

    高危

    1000 to 2000 USDT

    嚴重

    2500 to 4000 USDT


     

    如何定義不同級別的錯誤/漏洞?

    請參閱以下列表獲取更多信息:
     

    嚴重漏洞

    嚴重漏洞是指發生在核心業務系統(核心控制系統、域控、業務分發系統、堡壘機等可管理大量系統的管控系統)中的漏洞。此類漏洞可造成大面積影響,獲取業務系統控制權限(視具體情況而定),獲取核心繫統管理人員權限,甚至是控制核心繫統。

     

    重大漏洞包括但不限於:

    • 控制內網多台設備。
    • 獲取核心後台超級管理員權限,企業核心數據泄露,可造成嚴重影響。
    • 智能合約溢出和條件競爭漏洞。
     

    高危漏洞

    • 獲取系統權限(GetShell、命令執行 等)。
    • 系統 SQL 注入(後台漏洞降級、打包提交酌情優先處理)。
    • 敏感信息越權訪問,包括但不限於繞過認證直接訪問管理後台、重要後台弱密碼、獲取大量內網敏感信息的 SSRF 等。
    • 讀取任意文件。
    • XXE 漏洞,可訪問任何信息。
    • 涉及資金的未授權交易或繞過支付邏輯(需最終利用成功)。
    • 嚴重的邏輯設計缺陷和流程缺陷,包括但不限於任意用戶登錄漏洞、批量修改任意賬戶密碼漏洞、涉及企業核心業務的邏輯漏洞等,驗證碼爆破除外。
    • 大範圍影響用戶的其他漏洞,包括但不僅限於重要頁面可自動傳播的存儲型 XSS、可獲取管理員認證信息且成功利用的存儲型 XSS 等。
    • 大量源代碼泄露。
    • 智能合約許可控制缺陷。

     

    中危漏洞

    • 交互后才會影響用戶的漏洞,包括但不限於存儲型 XSS、涉及核心業務的 CSRF 等。
    • 平行越權操作,包括但不限於繞過限制修改用戶數據、執行用戶操作等。
    • 拒絕服務 (DoS) 漏洞,包括但不限於由 DoS 網絡應用程序造成的遠程 DoS 漏洞。
    • 由驗證碼邏輯缺陷導致任意賬戶登錄、任意密碼找回等由於系統敏感操作可成功爆破而造成的漏洞。
    • 本地保存的敏感認證密鑰信息泄露,需能進行有效利用。
     

    低危漏洞

    • 本地 DoS 漏洞包括但不限於客戶端本地 DoS(正在解析文件格式、網絡協議生成的崩潰)、由 Android 組件許可暴露導致的問題、常規應用程序訪問等。
    • 常規信息泄露,包括但不限於網頁路徑遍歷、系統路徑遍歷、目錄瀏覽等。
    • XSS(包括 DOM XSS/反射 XSS)。
    • 常規 CSRF。
    • URL 跳轉漏洞。
    • 短信炸彈、郵件炸彈(每個系統僅接受一類此種漏洞)。
    • 其他危害較低、不能證明危害的漏洞(如無法獲取到敏感信息的 CORS 漏洞)。
    • 未返回值且沒有深入利用成功的 SSRF。
     

    暫不接受的漏洞類型(提交后將被忽略)

    • 电子郵件欺騙。
    • 用戶枚舉漏洞。
    • Self-XSS 和 HTML 注入。
    • 網頁缺失 CSP 和 SRI 安全策略。
    • 非敏感操作的 CSRF 問題。
    • 單獨的 Android App android:allowBackup=「true」問題,本地拒絕服務問題等(深入利用的除外)。
    • 修改圖片尺寸造成的請求緩慢等問題。
    • Nginx 等版本泄露問題。
    • 一些功能問題,無法造成安全風險。
    • 人身攻擊 Bybit 員工/對 Bybit 員工進行社交工程。
     

    禁止以下行為

    • 開展社交工程和/或參与網絡釣魚。
    • 泄露漏洞的具體信息。
    • 漏洞測試僅限 PoC(概念證明),嚴禁破壞性測試。如測試過程中意外造成危害,應及時上報。此外,測試期間如進行刪除、修改及其他敏感操作,均必須在報告中說明。
    • 大規模掃描請使用掃描工具。如果業務系統或網絡無法使用,將根據相關法律進行處理。
    • 漏洞測試應盡量避免直接修改頁面、繼續彈出消息框(XSS 驗證建議使用 DNSLog)、竊取 Cookie 以及/或者獲取等入侵式負載,例如獲取用戶信息(XSS 盲測請使用 DNSLog)。如果您意外使用了入侵式負載,請立即將其刪除。否則,我們有權追究相關法律責任。
    這篇文章有幫助嗎?
    yesyes沒有