Bybit TR’in Bybit TR Yazılım Hatası Bulma Ödülleri Programı var mı?

Evet, Bybit TR'in bir hata ödül programı var. Bybit TR'te bir güvenlik açığı fark ederseniz ve bir ödül almak istiyorsanız, lütfen aşağıdaki adımları inceliyiniz:

Step 1: Tüm bulgularınızı temiz ve düzenli bir biçimde birleştirin. Hatanın GIF'lerini veya video kayıtlarını sağlamak bizlere ekstra yardımcı olacaktır.

Step 2: Güvenlik raporunuzu ve bulgularınızı bu form aracılığıyla bizlere gönderin ve API Trading / Güvenlik Açığı Bildir seçeneğini belirleyin. 

Video kayıtları için Google Drive'a yükleyin ve paylaşılabilir bağlantıyı bize gönderin. Bunun nasıl yapılacağı hakkında daha fazla bilgi için lütfen şu adresi ziyaret edin:  Çeşitli cihazlarda ekran kaydı alınması ve alınan kaydın Bybit TR’e gönderilmesi.

 

Bir güvenlik açığı onaylandığında verilen hata ödülü nedir?

Tespit edilen güvenlik açığının düzeyine bağlı olarak sunulan hata ödülü için lütfen aşağıdaki tabloya bakınız.

 

Hataların/güvenlik açıklarının çeşitli düzeyleri nasıl tanımlanıyor?

Daha fazla bilgi için lütfen aşağıdaki listeye bakınız:

 

Kritik Güvenlik Açıkları

Bir kritik güvenlik açığı; temel iş sisteminde (temel kontrol sistemi, saha kontrolü, iş dağıtım sistemi, fortress makinesi ve çok sayıda sistemi yönetebilen diğer kontrol sistemleri) ortaya çıkan açıkları ifade eder. Bu, çok ciddi zarara neden olabilir, iş sistemi kontrol erişimi elde edebilir (asıl duruma bağlı olarak), temel sistem yönetim personeli erişimi elde edebilir ve hatta temel sistemi kontrol edebilir.

 

Aşağıdakileri içerir ancak bunlarla sınırlı değildir:

• Şirket içi ağa birden çok cihazın erişmesi.
• Temel arkayüz süper yönetici erişimi elde etme, şirket temel verilerini sızdırma ve ciddi bir zarara neden olma.
• Akıllı sözleşme akışı ve koşullu rekabet zafiyeti.

 

Yüksek Riskli Güvenlik Açıkları

• Sistem erişimi elde etme (getshell, komut yerine getirme vb.)
• Sistem SQL saldırısı (arkayüz açığı, uygun olduğu şekilde paket gönderim önceliklendirilmesi).
• Kimlik doğrulamayı, kaba kuvvet saldırısı yapılabilir arkayüz şifrelerini atlatarak yönetim artalanına doğrudan erişim dâhil ve bununla sınırlı olmamak üzere hassas bilgilere izinsiz erişim elde etme ve dâhili ağda vb. hassas bilgilerin SSRF’sini elde etme)
• Gelişigüzel belge okuma
• Herhangi bir bilgiye erişebilen XXE zafiyeti
• Para, ödeme mantığı atlatma (başarılı bir şekilde kullanılması gerekir) içeren yetkisiz çalışma 
• Ciddi mantıksal tasarım kusurları ve işlem kusurları Bu; doğrulama kodu patlatma hariç, kullanıcı oturum açma açığı, yığın hesap şifre değişikliği savunmasızlığı, şirket temel iş sistemini içeren mantık açığı vb. içerir ancak bunlarla sınırlı değildir
• Kullanıcıları büyük ölçekte etkileyen diğer güvenlik açıkları. Önemli sayfalara otomatik olarak yayılabilen depo XSS ve yönetici kimlik doğrulama bilgilerine erişebilen ve başarılı bir şekilde kullanılabilen depo XSS içerir ve bunlarla sınırlı değildir.
• Birçok kaynak kodun sızması.
• Akıllı sözleşmede izin kontrolü kusurları.

 

Orta Riskli Güvenlik Açıkları

• Kullanıcıları etkileşim kısmında etkileyebilen güvenlik açıkları. Genel sayfalarda depo XSS, temel iş sistemini içeren CSRF vb. içerir ve bunlarla sınırlı değildir
• Genel izinsiz işlem gerçekleştirme. Sınırlamaları atlatarak kullanıcı verilerini değiştirmeyi ve kullanıcı adına işlem gerçekleştirmeyi içerir ve bunlarla sınırlı değildir.
• Hizmeti engelleme zafiyeti. İnternet uygulamalarının hizmetinin engellenmesi sonucu uzaktan hizmeti engelleme zafiyetini içerir ve bununla sınırlı değildir.
• Doğrulama kodu mantığı kusurları nedeniyle herhangi bir hesapta oturum açma ve şifre erişimi gibi sistemdeki hassas işlemleri başarılı patlatmadan kaynaklanan açıklar.
• Etkili bir şekilde kullanılabilmesi gereken yerel olarak depolanan hassas kimlik doğrulama anahtar bilgilerinin sızması.

 

Düşük Riskli Güvenlik Açıkları

• Yerel hizmeti engelleme zafiyeti. Müşteri yerel hizmeti engelleme (dosya formatlarını ögelerine ayırma, ağ protokolleri ile oluşturulan çökmeler), Android bileşenli iznin açığa çıkmasından kaynaklanan sorunlar, genel uygulama erişimi vb. içerir ve bunlarla sınırlı değildir
• Genel bilgi sızıntısı. Bu, Web yolu gezinmeyi, sistem yolu gezinmeyi, dizin taramayı vb. içerir ancak bunlarla sınırlı değildir
• Yansıtıcı tür XSS (DOM XSS/Flash XSS dâhil)
• Genel CSRF
• URL atlama zafiyeti
• SMS bombaları, mail bombaları (her sistem bu savunmasızlıkların yalnızca bir türünü kabul eder).
• Daha az zararlı olan ve zararlı olduğu kanıtlanamayan diğer açıklar (hassas bilgilere erişemeyen CORS zafiyeti gibi)
• Sıfır geri dönüş değeri ve sıfır derinlemesine başarılı SSRF kullanımı

 

An itibarıyla kabul edilmeyen güvenlik açıkları (söz konusu güvenlik açığı gönderilse bile göz ardı edilir)

• Sahte e-posta (spoofing)
• Kullanıcı sayım zafiyeti
• Self-XSS ve HTML saldırısı
• CSP ve SRI güvenlik politikaları olmayan İnternet siteleri
• Hassas olmayan çalıştırmalar için CSRF sorunları
• Android uygulaması hakkında ayrı sorun android:allowBackup=”true” ve hizmet yerel olarak reddedildi vb. (derinlemesine kullanım olmadıkça).
• Görüntünün boyutunu değiştirme ve yavaş taleplere neden olma vb. gibi bazı sorunlar
• Nginx vb. gibi sürüm sızma sorunları
• Güvenlik riski sorunu teşkil etmeyen bazı işlevsel hatalar
• Bybit TR’e fiziksel saldırı/Bybit TR çalışanlarına sosyal mühendislik saldırıları

 

Yasak davranışlar

• Sosyal mühendislik gerçekleştirmek ve insanları oltalamak yasaktır;
• Güvenlik açığının detaylarını sızdırmak yasaktır;
• Güvenlik açığı ile ilgili denemeler yalnızca PoC (kavram kanıtlama) ile sınırlıdır ve tahribatlı deneme kesin surette yasaktır. Deneme sırasında yanlışlıkla zararlar meydana gelirse bu durum zamanında rapor edilmelidir. Bununla birlikte denemede gerçekleştirilen silme, değiştirme ve buna benzer diğer hassas işlemlerin raporda açıklanması zorunludur;
• Büyük ölçekli taramada bir tarayıcı kullanılması yasaktır. İş sistemi veya ağ kullanılamaz olursa bu durum ilgili yasalara göre ele alınır;
• Güvenlik açığını test edenler sayfayı doğrudan değiştirmekten, mesaj kutusunu açmaya devam etmekten (xss doğrulama için dnslog tavsiye edilir), çerezleri çalmaktan ve kullanıcı bilgileri gibi saldırgan yararlı yük edinmekten kaçınmaya çalışmalıdır (kör xss deneme için lütfen dnslog kullanın). Yanlışlıkla daha saldırgan yararlı yük kullanırsanız lütfen zamanında silin. Aksi takdirde ilgili yasal sorumluluğu başlatma hakkımız olur.