Bybitにバグ報奨金制度はありますか？ 

はい、Bybitにはバグ報奨金制度があります。Bybitの脆弱性に気づき、バグ報奨金を獲得したい場合は、以下の手順を参照してください。 

手順1： 発見したすべてのことを整理してまとめます。バグのGIFやビデオ録画をご提供いただけますと非常に役立ちます。

手順2：こちらのフォームから、APIトレーディング/セキュリティの脆弱性を報告するを選択し、セキュリティ報告と調査結果を提出してください

ビデオ録画は、Google driveにアップロードし、共有リンクを送信してください。録画方法はこちらのページをご覧ください。

 

 

 

脆弱性が承認された場合の報奨金について教えてください。

検出された脆弱性のレベルに応じたバグ報奨金は、以下の表のとおりです。

 

 

 

バグや脆弱性のレベルはどのように定義されているのですか？

詳細は、以下のリストをご参照ください。
 

深刻な脆弱性

深刻な脆弱性とは、基幹業務システム（基幹制御システム、フィールド制御、業務流通システム、要塞マシン、その他多数のシステムを管理できる制御の中心部）に発生する脆弱性を指します。深刻な影響を与え、業務システムの制御アクセス権（状況による）または基幹システム管理者のアクセス権を獲得するほか、基幹システムを制御する可能性さえもあります。

 

深刻な脆弱性の例として、以下のようなものがあります。

• 複数のデバイスが内部ネットワークにアクセスする
• バックエンドの中核となる特権管理者権限を取得し、企業の基幹データを流出させ、深刻な影響を与える
• スマートコントラクトのオーバーフローと条件付き競合の脆弱性

 

リスクが高い脆弱性

• システムアクセスの取得（getshell、コマンド実行など）
• システムSQLインジェクション（バックエンドの脆弱性劣化、必要に応じたパッケージ提出の優先順位付け）
• 認証回避による管理バックグラウンドへの直接アクセス、ブルートフォース攻撃の可能なバックエンドパスワード、SSRFによる内部ネットワーク内の機密情報の取得など、機密情報への不正アクセス
• 恣意的な文書読み取り
• あらゆる情報にアクセス可能なXXEの脆弱性
• 金銭や決済ロジックの迂回を伴う不正操作
• 重大な論理設計上の欠陥とプロセス上の欠陥。検証コードの収奪を除く、ユーザーログインの脆弱性、アカウントパスワードの一括変更の脆弱性、企業の基幹業務に関わるロジックの脆弱性など
• その他、大規模にユーザーに影響を与える脆弱性。重要なページで自動的に伝播する可能性があるストレージXSSや、管理者認証情報にアクセスして利用される可能性があるストレージXSSなど
• ソースコードの流出
• スマートコントラクトにおけるパーミッション制御の欠陥

 

リスクが中程度の脆弱性

• 一般ページのストレージXSS、基幹業務に関わるCSRFなど、インタラクションによってユーザーに影響を及ぼす可能性のある脆弱性
• ユーザーデータの改ざん、制限を迂回してのユーザー操作などの一般的な不正操作
• Webアプリケーションのサービス拒否によるリモートサービス拒否の脆弱性などのサービス拒否の脆弱性
• 検証コードのロジックの欠陥により発生する、何らかのアカウントへのログインやパスワードへのアクセスなど、システム上機密性の高い操作の不正利用による脆弱性
• ローカルに保存された機密性の高い認証キー情報が漏えいし、有効利用される

 

リスクが低い脆弱性

• ローカルサービス拒否の脆弱性。クライアントのローカルサービス拒否（ファイルフォーマットの解析、ネットワークプロトコルによって発生するクラッシュ）、Androidコンポーネントの権限露出により発生する問題、一般的なアプリケーションへのアクセスなどが含まれる
• Webパストラバーサル、システムパストラバーサル、ディレクトリブラウジングなどの、一般的な情報漏洩
• XSS（DOM XSS/反射型XSSを含む）
• CSRF全般
• URLスキップの脆弱性
• SMS爆弾、メール爆弾（各システムはこの脆弱性を1種類しか受け入れない）
• その他、比較的害の少ない（有害性が証明できない）脆弱性（機密情報にアクセスできないCORSの脆弱性など）
• 戻り値がなく、SSRFによる具体的な情報の利用はない

 

現在受け付けていない脆弱性（以下のような脆弱性が報告されても、対処されません）

• Eメールのなりすまし
• ユーザ列挙攻撃の脆弱性
• セルフXSSおよびHTMLインジェクション
• CSPとSRIのセキュリティポリシーが欠落しているWebページ
• 機密性のない操作のCSRFの問題
• Androidアプリのandroid:allowBackup=”true”に関する、ローカルでサービスが拒否されるなどの別途発生する問題（具体的な情報の利用は除く）
• 画像サイズが変わる、リクエストが遅くなるなどの問題
• NGINXなどのバージョンリークの問題
• セキュリティリスクの問題にならない機能的なバグの一部
• Bybitへの物理的攻撃、Bybitの社員へのソーシャルエンジニアリング攻撃

 

禁止行為

• ソーシャルエンジニアリングの実行やフィッシングへの関与
• 脆弱性の詳細の漏えい
• 脆弱性テストはPoC（概念実証）に限定し、破壊的なテストは厳禁とします。テスト中に不用意に害が生じた場合は、迅速に報告する必要があります。一方、テスト中に行われた削除や変更などの機密性の高い操作については、報告書で説明する必要があります。
• 大規模なスキャニングのためのスキャナーの使用。業務システムやネットワークが利用できなくなった場合は、関連法に基づき対応します。
• 脆弱性をテストする場合は、ページを直接変更したり、メッセージボックスをポップアップし続けたり（xssの検証にはDNSLogを推奨）、クッキーを盗んだり、ユーザ情報のような攻撃的なペイロードを取得したりしないようにしてください（ブラインドxssテストには、dnslogを使用してください）。誤って、より攻撃的なペイロードを使用してしまった場合は、すぐに削除してください。そうでない場合、当社は関連する法的責任を追及する権利を有します。