Bybit มีโปรแกรม Bug Bounty หรือไม่?
ใช่ Bybit มีโปรแกรมให้รางวัลบั๊ก หากคุณสังเกตเห็นช่องโหว่บน Bybit และต้องการรับค่าตอบแทนจากข้อผิดพลาด โปรดดูขั้นตอนด้านล่าง:
ขั้นตอนที่ 1: รวมสิ่งที่คุณค้นพบทั้งหมดในรูปแบบที่เป็นระเบียบและเป็นระเบียบ การให้ GIF หรือการบันทึกวิดีโอของจุดบกพร่องจะได้รับการชื่นชมมากที่สุด
ขั้นตอนที่ 2: ส่งรายงานความปลอดภัยและผลการตรวจสอบของคุณผ่านแบบฟอร์มนี้ และเลือกตัวเลือกการซื้อขาย API / รายงานช่องโหว่ด้านความปลอดภัย
สำหรับการบันทึกวิดีโอ โปรดอัปโหลดไปที่ Google Drive และส่งลิงก์ที่แชร์ได้ให้เรา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการทำ โปรดเยี่ยมชมที่นี่
ค่าตอบแทนข้อผิดพลาดที่ได้รับเมื่อเจอช่องโหว่ได้รับการอนุมัติคืออะไร?
โปรดดูตารางด้านล่างสำหรับค่าตอบแทนจุดบกพร่องที่มีให้ตามระดับของช่องโหว่ที่ตรวจพบ
|
|
|
|
|
|
|
|
|
|
ระดับต่าง ๆ ของจุดบกพร่อง/ช่องโหว่มีการกำหนดไว้อย่างไร?
โปรดดูรายการด้านล่างสำหรับข้อมูลเพิ่มเติม:
ช่องโหว่ระดับร้ายแรง
ช่องโหว่ระดับร้ายแรง หมายถึงช่องโหว่ที่เกิดขึ้นในระบบธุรกิจหลัก (ระบบควบคุมหลัก, การควบคุมฟิลด์, ระบบแจกจ่ายของธุรกิจ, fortress machine หรือสถานที่ควบคุมอื่นๆ ที่สามารถจัดการระบบจำนวนมากได้) ซึ่งอาจก่อให้เกิดผลกระทบที่รุนแรง, ได้รับการเข้าถึงระบบการควบคุมทางธุรกิจ (ขึ้นอยู่กับสถานการณ์จริง) หรือการเข้าถึงของเจ้าหน้าที่บริหารระบบหลัก และแม้กระทั่งการควบคุมระบบหลัก
ช่องโหว่ระดับร้ายแรงประกอบด้วย:
- อุปกรณ์หลายเครื่องที่เข้าถึงเครือข่ายภายใน
- การได้รับการเข้าถึง super administrator บน back-end หลัก ทำให้ข้อมูลหลักขององค์กรรั่วไหลและก่อให้เกิดผลกระทบอย่างรุนแรง
- การ overflow ของสัญญาอัจฉริยะ และช่องโหว่การแข่งขันที่มีเงื่อนไข
ช่องโหว่ที่มีความเสี่ยงสูง
- ได้รับการเข้าถึงระบบ (getshell, การเรียกใช้คำสั่ง, ฯลฯ)
- SQL injection ของระบบ (การ degrade ของช่องโหว่ back-end, การจัดลำดับความสำคัญของการส่งแพ็คเกจตามความเหมาะสม)
- การเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต รวมถึงแต่ไม่จำกัดเพียงการเข้าถึงเบื้องหลังการจัดการโดยตรงโดยการข้ามการตรวจสอบสิทธิ์, รหัสผ่าน back-end ที่โจมตีได้โดยวิธี brute force หรือเพื่อให้ได้ SSRF ของข้อมูลที่ละเอียดอ่อนในเครือข่ายภายใน ฯลฯ
- การอ่านเอกสารแบบไม่มีกฏเกณฑ์
- ช่องโหว่ XXE ที่สามารถเข้าถึงข้อมูลใดๆ ได้
- การดำเนินการที่ไม่ได้รับอนุญาตที่เกี่ยวข้องกับเงินหรือการ bypass ตรรกะการชำระเงิน (จำเป็นต้องใช้ให้ประสบความสำเร็จ)
- ข้อบกพร่องทางตรรกะและข้อบกพร่องของกระบวนการออกแบบที่ร้ายแรง ซึ่งรวมถึงแต่ไม่จำกัดเพียง ช่องโหว่ในการเข้าสู่ระบบของผู้ใช้, ช่องโหว่ของการแก้ไขรหัสผ่านบัญชีแบบกลุ่ม, ช่องโหว่ทางตรรกะที่เกี่ยวข้องกับธุรกิจหลักขององค์กร ฯลฯ ยกเว้นระเบิดรหัสยืนยัน (verification code explosion)
- ช่องโหว่อื่นๆ ที่ส่งผลกระทบต่อผู้ใช้ในระดับใหญ่ สิ่งเหล่านี้รวมถึงแต่ไม่จำกัดเพียง XSS ของพื้นที่เก็บข้อมูล ที่สามารถเผยแพร่โดยอัตโนมัติบนหน้าเว็บที่สำคัญ และ XSS ของพื้นที่เก็บข้อมูล ที่สามารถเข้าถึงข้อมูลการตรวจสอบสิทธิ์ของผู้ดูแลระบบ และสามารถใช้งานได้สำเร็จ
- การรั่วไหลของซอร์สโค้ด
- ข้อบกพร่องในการควบคุมการอนุญาตในสัญญาอัจฉริยะ
ช่องโหว่ที่มีความเสี่ยงปานกลาง
- ช่องโหว่ที่อาจส่งผลกระทบต่อผู้ใช้โดยปฏิสัมพันธ์ ซึ่งรวมถึงแต่ไม่จำกัดเพียง พื้นที่เก็บข้อมูล XSS ในหน้าทั่วไป, CSRF ที่เกี่ยวข้องกับธุรกิจหลัก ฯลฯ
- การดำเนินการทั่วไปที่ไม่ได้รับอนุญาต ไม่จำกัดเพียงการแก้ไขข้อมูลผู้ใช้และดำเนินการดำเนินการของผู้ใช้โดยการ bypass ข้อจำกัด
- ช่องโหว่ของการปฏิเสธการให้บริการ (denial-of-service) รวมถึงแต่ไม่จำกัดเพียง ช่องโหว่ของการปฏิเสธการให้บริการที่เกิดจากการปฏิเสธการให้บริการของเว็บแอปพลิเคชัน
- ช่องโหว่ที่เกิดจากการระเบิด (explosion) ที่ประสบความสำเร็จกับการทำงานที่ละเอียดอ่อนของระบบ เช่น การเข้าสู่ระบบบัญชีและการเข้าถึงรหัสผ่าน ฯลฯ เนื่องจากข้อบกพร่องทางตรรกะของรหัสยืนยัน
- การรั่วไหลของข้อมูลคีย์การตรวจสอบสิทธิ์ที่จัดเก็บไว้ภายใน ที่ละเอียดอ่อน ซึ่งจำเป็นต้องพร้อมใช้งานเพื่อการใช้งานที่มีประสิทธิภาพ
ช่องโหว่ที่มีความเสี่ยงต่ำ
- ช่องโหว่ของการปฏิเสธการให้บริการภายใน รวมถึงแต่ไม่จำกัดเพียง การปฏิเสธการให้บริการภายในของไคลเอ็นต์ (การแยกวิเคราะห์รูปแบบไฟล์, การขัดข้องที่เกิดจากโปรโตคอลของเครือข่าย), ปัญหาที่เกิดจากการเปิดเผยการอนุญาตส่วนประกอบของ Android, การเข้าถึงแอปพลิเคชันทั่วไป ฯลฯ
- การรั่วไหลของข้อมูลทั่วไป ไม่จำกัดเพียงเส้นทางเว็บ (Web path traversal), เส้นทางระบบ (system path traversal), การเรียกดูไดเรกทอรี ฯลฯ
- XSS (รวมถึง DOM XSS/Reflected XSS)
- CSRF ทั่วไป
- ช่องโหว่ของการข้าม URL
- ระเบิด SMS, ระเบิดจดหมาย (แต่ละระบบยอมรับช่องโหว่นี้เพียงประเภทเดียวเท่านั้น)
- ช่องโหว่อื่นๆ ที่เป็นอันตรายน้อยกว่า (และไม่สามารถพิสูจน์ได้ว่าเป็น เช่นช่องโหว่ CORS ที่ไม่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อน)
- ไม่มี return value และไม่มีการใช้ประโยชน์เชิงลึกของ SSRF ที่ประสบความสำเร็จ
ช่องโหว่ที่ไม่ได้รับการยอมรับในขณะนี้ (แม้ว่าจะมีการส่งช่องโหว่ดังกล่าว ก็จะถูกเพิกเฉ)
- การหลอกลวงทางอีเมล (Email spoofing)
- ช่องโหว่ user enumeration
- Self-XSS & HTML injection
- หน้าเว็บที่ขาดนโยบายความปลอดภัย CSP และ SRI
- ปัญหา CSRF สำหรับการดำเนินงานที่ไม่ละเอียดอ่อน
- ปัญหาที่แยกต่างหากเกี่ยวกับแอป Android android:allowBackup=”true” ซึ่งถูกปฏิเสธการให้บริการในเครื่อง ฯลฯ (ยกเว้นการใช้งานในเชิงลึก)
- ปัญหาเช่น การเปลี่ยนขนาดของรูปภาพ ทำให้มีการร้องขอช้า เป็นต้น
- ปัญหาการรั่วไหลของเวอร์ชัน เช่น NGINX เป็นต้น
- บั๊กการทำงานบางอย่างที่ไม่ก่อให้เกิดปัญหาความเสี่ยงด้านความปลอดภัย
- การโจมตีทางกายภาพต่อ Bybit/การโจมตีทางวิศวกรรมสังคมต่อพนักงาน Bybit
พฤติกรรมต้องห้าม
- ดำเนินการด้านวิศวกรรมสังคมและ/หรือการมีส่วนร่วมในฟิชชิง
- การรั่วไหลของรายละเอียดของช่องโหว่
- การทดสอบช่องโหว่จำกัดอยู่ที่ PoC (proof of concept) และการทดสอบที่เป็นการทำลายเป็นสิ่งต้องห้ามอย่างเคร่งครัด หากเกิดอันตรายโดยไม่ได้ตั้งใจในระหว่างการทดสอบ ควรรายงานให้ทันเวลา ในขณะเดียวกัน การดำเนินการที่ละเอียดอ่อนที่ดำเนินการในระหว่างการทดสอบ เช่น การลบ การแก้ไข และการดำเนินการอื่นๆ จะต้องได้รับการอธิบายในรายงาน
- การใช้เครื่องสแกนสำหรับการสแกนขนาดใหญ่ หากระบบธุรกิจหรือเครือข่ายไม่สามารถใช้งานได้ จะถูกจัดการตามกฎหมายที่เกี่ยวข้อง
- ผู้ที่ทดสอบช่องโหว่ควรพยายามหลีกเลี่ยงการแก้ไขหน้าเว็บโดยตรง, การเปิดกล่องข้อความต่อไป (แนะนำให้ใช้ DNSLog เพื่อการตรวจสอบ xss), การขโมยคุกกี้และ/หรือการรับภาระงานที่รุนแรง เช่น ข้อมูลผู้ใช้ (สำหรับการทดสอบ xss แบบปกปิดข้อมูล โปรดใช้ dnslog) หากคุณใช้ payload ที่ aggressive มากขึ้นโดยไม่ได้ตั้งใจ โปรดลบทันที มิฉะนั้น เรามีสิทธิ์ที่จะแสวงหาความรับผิดทางกฎหมายที่เกี่ยวข้อง