漏洞獎勵計劃

報告漏洞獲取獎勵

關於我們

BitForex 是頂級加密資產交易所之一,致力於為用戶提供安全、專業、便捷的數字資產交易服務。 BitForex 通過提供廣泛的交易工具,包括代幣交易、杠桿交易和衍生品等,不斷適應新的市場需求,不斷推出新功能,引領加密資產交易行業的潮流。
公司總部位於香港,2017 年註冊於塞舌爾共和國,在德國、韓國、新加坡、俄羅斯等多地均設有獨立運營團隊。
截至 2021 年 10 月,BitForex 已服務來自 200+ 國家和地區的 500萬+ 用戶,最大日活躍用戶達 16 萬。

漏洞獎勵規則

  1. 所有漏洞報告必須提交到 [email protected]
  2. 所有漏洞報告均由 BitForex 評級,並根據漏洞嚴重程度進行支付。
  3. 請註冊 BitForex 帳戶並綁定您用於發送漏洞報告的郵箱,報告中須包含您的 BitForex 賬戶 UID,以便接收漏洞獎勵。 獎勵將以 USDT 的形式發放到您提供的賬戶中。
  4. 要求 BitForex 先付款才能換取漏洞詳情將立即失去漏洞獎勵資格。
  5. 請提供盡可能詳盡的報告,以便我們足夠重視您的發現,否則您可能錯失獎勵。
  6. 對於組合的可利用漏洞,我們只會為最高級別的漏洞付費。對於相同漏洞,我們只會為第一個足夠詳盡的漏洞報告付費。
  7. BitForex 保留自行決定取消或修改漏洞獎勵規則的權利。

漏洞獎勵範圍

範圍內

網址 類型
*.bitforex.com Web
https://github.com/githubdev2020/API_Doc_en/wiki API
https://m.bitforex.com/en/download iOS
https://play.google.com/store/apps/details?id=com.bitforex.pro Android

範圍外

範圍外漏洞通常不在獎勵計劃之內,除非可能因此產生嚴重的業務風險(由 BitForex 評定)。

  1. 最佳方案或做法問題
  2. Self-XSS & HTML註入
  3. 無法重復的漏洞
  4. 接口窮舉爆破已註冊用戶名類漏洞
  5. Nginx 或其他中間件版本泄露的問題
  6. 第三方應用程序中的漏洞
  7. 需要受害者配合的漏洞
  8. 非敏感操作的 CSRF 問題
  9. 網頁缺少 CSP、SRI 安全策略
  10. 一些功能 bug,無法造成安全風險的問題
  11. 社會工程、網絡釣魚、物理攻擊、郵件偽造或其他欺詐活動
  12. 修改圖片 size 造成的請求緩慢等問題
  13. 少於 30 天內披露的 0day 漏洞,如 log4j2 漏洞
  14. 需要在受害者設備中安裝任何第三方應用程序(包括惡意軟件)的漏洞
  15. 單獨的安卓 APP android:allowBackup=」true」 問題,本地拒絕服務問題等(深入利用的除外)

評級及獎勵

嚴重 1500 - 2500 USDT
高危 500 - 1000 USDT
中危 200 - 300 USDT
低危 50 - 100 USDT

報告數據

  1. 近半年完成漏洞獎勵 22 件
  2. 近半年支付漏洞獎勵 7000 USDT

漏洞等級

嚴重漏洞

嚴重的漏洞是指,發生在核心系統業務系統(核心控製系統、域控、業務分發系統、堡壘機等可管理大量系統的管控系統),可造成大面積影響的,獲取大量(依據實際情況酌情限定)業務系統控製權限,獲取核心系統管理人員權限並且可控製核心系統。

包括但不限於:

  1. 內網多臺機器控製
  2. 核心後臺超級管理員權限獲取且造成大範圍企業核心數據泄露,可造成巨大影響
  3. 智能合約溢出、條件競爭漏洞

高危漏洞

  1. 系統的權限獲得(getshell、命令執行等)
  2. 系統的 SQL 註入(後臺漏洞降級,打包提交酌情提升)
  3. 敏感信息越權訪問。包括但不僅限於繞過認證直接訪問管理後臺、重要後臺弱密碼、獲取大量內網敏感信息的 SSRF 等)
  4. 任意⽂件讀取
  5. 可獲取任意信息的 XXE 漏洞
  6. 涉及金錢的越權操作、支付邏輯繞過(需最終利用成功)
  7. 嚴重的邏輯設計缺陷和流程缺陷。包括但不僅限於任意用戶登錄漏洞、批量修改任意賬號密碼漏洞、涉及企業核心業務的邏輯漏洞等,驗證碼爆破除外
  8. 大範圍影響用戶的其他漏洞。包括但不僅限於重要頁面可自動傳播的存儲型 XSS、可獲取管理員認證信息且成功利用的存儲型 XSS 等
  9. 大量源代碼泄露
  10. 智能合約權限控製缺陷

中危漏洞

  1. 需交互方可影響用戶的漏洞。包括但不僅限於一般頁面的存儲型 XSS,涉及核心業務的 CSRF 等
  2. 普通越權操作。包括但不限於繞過限製修改用戶資料、執行用戶操作等
  3. 拒絕服務漏洞。包括但不限於導致網站應用拒絕服務等造成影響的遠程拒絕服務漏洞等
  4. 由驗證碼邏輯導致任意賬戶登陸、任意密碼找回等系統敏感操作可被爆破成功造成的漏洞
  5. 本地保存的敏感認證密鑰信息泄露,需能做出有效利用
  6. 低危漏洞

低危漏洞

  1. 本地拒絕服務漏洞。包括但不僅限於客戶端本地拒絕服務(解析文件格式、網絡協議產生的崩潰),由 Android 組件權限暴露、普通應用權限引起的問題等
  2. 普通信息泄露。包括但不限於 Web 路徑遍歷、系統路徑遍歷、目錄瀏覽等
  3. 反射型 XSS(包括 DOM XSS / Flash XSS)
  4. 普通 CSRF
  5. URL 跳轉漏洞
  6. 短信炸彈、郵件炸彈(每個系統只收一個此類型漏洞)
  7. 其他危害較低、不能證明危害的漏洞(如無法獲取到敏感信息的 CORS 漏洞)
  8. 無回顯的且沒有深入利用成功的 SSRF

禁止行為

如因以下行為導致網絡終端及服務訪問異常,我們將按照相關法律法規進行處理:

  1. 未經 BitForex 許可,禁止披露任何已發現漏洞的詳細信息。
  2. 禁止濫用 Dos/DDoS 漏洞、社會工程攻擊、垃圾郵件、釣魚攻擊等。
  3. 禁止使用 web/port 自動掃描器進行大規模掃描等導致大量流量請求的行為。
  4. 所有漏洞測試均應使用自己的賬號,禁止以任何形式獲取其他用戶賬號進行測試/入侵操作。
  5. 避免可能的影響或限製,包括但不限於業務、產品、架構等的可用性。

iOS & Android 掃碼下載