会社概要
BitForexは、安全で専門的かつ便利なデジタル通貨取引サービスをユーザーに提供することに専念しているトップクラスの暗号通貨取引所の1つです。BitForexは、トークン取引、マージン取引、デリバティブを含む幅広い取引ツールを効果的に提供し、常に新機能を導入して新しい市場のニーズに適応することにより、暗号通貨取引所業界のトレンドをリードしています。
同社は香港に本社を置き、2017年にセイシェル共和国で登録され、独立した運営チームはドイツ、韓国、シンガポール、ロシアなどに配置されています。
2021年10月まで、BitForexは200以上の国や地域から500万人以上のユーザーにサービスを提供しています。1日の最大アクティブユーザー数は16万人に達しています。
プログラムのルール
- すべてのバグレポートは、[email protected] に提出する必要があります。
- すべてのバグレポートはBitForexによって評価され、脆弱性の重大性に基づいて支払いが行われます。
- バグバウンティの支払いを受けるには、BitForexのアカウントを登録し、バグ報告に使用したEメールをバインドする必要があります。報告には、BitForex アカウント UID を忘れずに含めてください。報酬はUSDTで進行し、あなたが提供したアカウントに配布されます。
- 脆弱性の詳細と引き換えに支払いを要求した場合、報奨金の支払いは直ちに不適格となります。
- 発見した内容を再現できるよう、できるだけ詳細な報告をお願いします。そうでない場合、もしかしたら報酬を受け取れないかもしれません。
- 複合的に悪用可能な脆弱性については、最もレベルの高い脆弱性のみに報酬を支払います。同じ脆弱性については、レポートに十分な詳細が含まれている最初の脆弱性のみに報酬を支払います。
- BitForexは、独自の裁量でバグバウンティのルールをキャンセルまたは修正する権利を有します。
プログラムの範囲
対象範囲
URL | 種類 |
*.bitforex.com | ウェブ |
https://github.com/githubdev2020/API_Doc_en/wiki | API |
https://m.bitforex.com/en/download | iOS |
https://play.google.com/store/apps/details?id=com.bitforex.pro | アンドロイド |
範囲外
対象外のリソースで見つかった脆弱性は、深刻なビジネスリスクをもたらさない限り、報われることはまずありません(BitForexによる評価)。
- ベストプラクティスに関する懸念
- セルフXSS、HTMLインジェクション
- 再現性のない脆弱性
- ユーザー列挙の脆弱性
- Nginxなどのバージョンリーク問題
- サードパーティアプリケーションの脆弱性
- 被害者との対話が必要な脆弱性
- 機密性のない操作に対するCSRFの問題
- ウェブページにCSPやSRIのセキュリティポリシーがない
- セキュリティリスクの問題にならない一部の機能的なバグ
- ソーシャルエンジニアリング、フィッシング、物理的攻撃、メールスプーフィング、その他の詐欺行為
- 画像のサイズが変わり、遅いリクエストが発生するなどの問題がある。
- 最近(30日以内)公開された0day脆弱性(例:log4j2脆弱性など)
- 被害者の端末にサードパーティ製のアプリケーション(マルウェアを含む)をインストールする必要がある脆弱性
- Androidアプリのandroid:allowBackup="true" 、ローカルでサービスが拒否されるなどに関する別の問題。(深い利用がない限り)
深刻度と報酬
クリティカル | 1500 - 2500 USDT |
高 | 500 - 1000 USDT |
中位 | 200 - 300 USDT |
低 | 50 - 100 USDT |
統計情報
- 過去半期で22件のクローズドレポート
- 過去半期で7000USDTの支払額
脆弱性の重要度
致命的な脆弱性
重要な脆弱性とは、基幹業務システム(基幹制御システム、現場制御、業務配信システム、要塞機など多数のシステムを管理できる制御システム)に発生する脆弱性のことを指します。深刻な影響を与えたり、業務システムの制御アクセス権を獲得したり(実際の状況による)、基幹システム管理者のアクセス権を獲得したり、さらには基幹システムを制御したりすることが可能です。
以下のようなものがありますが、これらに限定されるものではありません。
- 内部ネットワークにおける複数のデバイスへのアクセス。
- コアバックエンドのスーパー管理者アクセスを獲得し、企業のコアデータを漏洩し、深刻な影響を引き起こす。
- スマートコントラクトのオーバーフローと条件付き競合の脆弱性。
高い脆弱性
- システムアクセス権の取得(getshell、コマンド実行など)。
- システムのSQLインジェクション(バックエンドの脆弱性劣化、パッケージ投入の優先順位を適切に設定)。
- 認証回避による管理バックグラウンドへの直接アクセス、ブルートフォース攻撃可能なバックエンドパスワード、内部ネットワークにおける機密情報のSSRF取得など、機密情報への不正アクセス。
- 任意での文書閲覧
- あらゆる情報にアクセスできるゼクシオの脆弱性。
- 不正な操作は金銭に関わるもので、決済ロジックのバイパス(正常に利用される必要がある)。
- 重大な論理設計上の欠陥、プロセス上の欠陥。検証コードの爆発を除く、ユーザーログインの脆弱性、アカウントパスワードの一括変更の脆弱性、企業のコアビジネスに関わるロジックの脆弱性などが含まれますが、これらに限定されるものではありません。
- その他、大規模にユーザーに影響を与える脆弱性。重要なページで自動的に伝播する可能性のあるストレージXSSを含むが、これに限定されない。ストレージXSSは、管理者の認証情報にアクセスし、うまく利用される可能性があります。
- 大量のソースコードの流出。
- スマートコントラクトの権限制御の不具合。
中程度の脆弱性
- 対話部分によりユーザーに影響を及ぼす可能性のある脆弱性。一般ページのストレージXSS、基幹業務に関わるCSRFなどが含まれるが、これらに限定されない。
- 一般的な不正な操作。ユーザーデータの改ざんや、制限を回避してのユーザー操作などが含まれるが、これに限定されるものではない。
- サービス妨害の脆弱性。Webアプリケーションのサービス拒否によるリモートサービス拒否の脆弱性を含みますが、これに限定されるものではありません。
- 検証コードのロジックの欠陥により、任意のアカウントのログインやパスワードのアクセスなど、システムの機密操作で爆発が成功した場合に発生する脆弱性。
- ローカルに保存された機密性の高い認証キー情報が漏えいすることで、有効活用する必要がある。
- 低い脆弱性
低い脆弱性
- ローカルなサービス拒否の脆弱性。ローカルクライアントのサービス拒否(ファイルフォーマットの解析、ネットワークプロトコルによるクラッシュ)、Androidコンポーネントの権限露出による問題、一般的なアプリケーションアクセスなどが含まれますが、これらに限定されるものではありません。
- 一般的な情報漏えい。Webパストラバーサル、システムパストラバーサル、ディレクトリブラウジングなどが含まれますが、これらに限定されません。
- 反射型XSS(DOM XSS/Flash XSSを含む)。
- 一般的なCSRF。
- URL スキップの脆弱性
- SMSボム、メールボム(各システムはこの脆弱性を1種類しか受け付けません)。
- その他、有害性の低い脆弱性は危険性を証明できない(機密情報にアクセスできないCORS脆弱性など)。
- SSRFに成功しても、戻り値がなく、深く活用できない。

禁止されている行為
以下の行為に起因するネットワーク端末やサービスへの異常なアクセスについては、関連する法令に基づき対処いたします。
- BitForexの許可なく、発見された脆弱性の詳細を公開することは禁じられています。
- Dos/DDoS脆弱性、ソーシャルエンジニアリング攻撃、スパム、フィッシング攻撃などの悪用は禁止されています。
- Web/ポート自動スキャナや、多くのトラフィックリクエストを引き起こす可能性のあるその他の動作を使用することは禁止されています。
- すべての脆弱性テストは、自分自身のアカウントを使用してください。テストや侵入操作のために、他のユーザーアカウントを取得することは、いかなる形でも禁じられています。
- ビジネス、製品、アーキテクチャなどの可用性を含むがこれに限定されない影響や制限の可能性を回避してください。