버그 바운티

버그 리포팅에 대해 보상을 지급합니다.

비트포렉스 소개

비트포렉스는 사용자들에게 안전하고 전문적이며 편리한 디지털 화폐 거래 서비스를 제공하는 최고의 암호화폐 거래소입니다. 비트포렉스는 신규 기능을 꾸준히 런칭하여 코인 거래, 마진 거래, 파생상품 등 다양한 트레이딩 서비스를 효과적으로 제공함으로써 암호화폐 거래소의 트렌드를 선도하고 있습니다.
비트포렉스의 본사는 홍콩에 있고 2017년 세이셸에 등록되었으며 독일, 대한민국, 싱가포르, 러시아 등에 독립적인 팀을 운영하고 있습니다.
2021년 10월 기준 비트포렉스는 200개 이상의 국가와 지역에서 500만 명 이상의 사용자에게 서비스를 제공 중입니다. 최근 일일 최대 활성 사용자가 160,000명에 도달했습니다.

버그 바운티 프로그램 안내

  1. 모든 버그 리포팅은[email protected]로 제출해야 합니다.
  2. 모든 버그 리포팅은 비트포렉스에서 해당 내용에 대한 등급을 매기고 취약성 중요도에 따라 보상이 지급됩니다.
  3. 버그 바운티를 받으려면 비트포렉스 계정을 만들고, 버그 리포팅에 사용한 이메일을 연동(바인딩)해야 합니다. 버그 리포팅 신청서에 회원님의 비트포렉스 계정 UID를 반드시 기재해주세요. 버그 바운티 보상은 USDT로 지급되며 회원님이 기재한 비트포렉스 계정에 입금됩니다.
  4. 취약성 세부 사항에 대한 대가로 기타 지불금을 요구하면 바운티 지급 자격이 즉시 박탈됩니다.
  5. 저희 비트포렉스가 회원님의 제보 내용을 충분히 재현할 수 있도록 가능한 한 상세하게 보고서를 제공해주세요. 너무 추상적이거나 모호한 내용에 대해서는 바운티 지급이 어려울 수 있습니다.
  6. 결합된 공격이 가능한 취약성에 대해서는 최고 수준의 취약성에 대해서만 보상을 지불합니다. 동일한 취약성에 대해서는 보고서에 충분한 내용이 포함된 것 중 먼저 제출된 취약성에 대해서만 채택하여 보상을 지급합니다.
  7. 비트포렉스는 당사의 단독 재량에 따라 버그 바운티 규칙을 취소하거나 수정할 수 있는 권한을 보유합니다.

버그 리포팅 리소스의 범위

범위

URL 환경 유형
*.bitforex.com 웹(Web)
https://github.com/githubdev2020/API_Doc_en/wiki API
https://m.bitforex.com/en/download iOS
https://play.google.com/store/apps/details?id=com.bitforex.pro 안드로이드(Android)

범위 외

범위를 벗어난 리소스에서 발견된 취약점은 심각한 비즈니스 위험을 제시하지 않는 한 보상을 받을 가능성이 낮습니다. (비트포렉스 판단 기준)

  1. 모범 사례 문제
  2. 자체 XSS 및 HTML 삽입
  3. 재현할 수 없는 취약점
  4. 사용자 열거 취약점
  5. Nginx 등의 버전 누출 문제
  6. 서드 파티 어플리케이션의 취약점
  7. 피해자 상호작용이 필요한 취약점
  8. 민감하지 않은 작업에 대한 CSRF 문제
  9. 웹 페이지에는 CSP 및 SRI 보안 정책이 없습니다.
  10. 보안 위험 문제를 제기하지 않는 일부 기능 버그
  11. 사회 공학, 피싱, 물리적 공격, 이메일 스푸핑 또는 기타 사기 행위
  12. 이미지 크기 변경 및 느림 요청 유발 등의 일부 문제
  13. 최근(30일 미만)에 공개된 0day 취약점(예: log4j2 취약점)
  14. 피해자의 기기에 서드 파티 어플리케이션(맬웨어 포함)을 설치해야 하는 취약점
  15. Android 앱 android:allowBackup=”true” 에 대한 별도의 문제 및 서비스가 로컬에서 거부되는 등(심도깊은 문제가 아닌 한)

심각도에 대한 보상 체계

주요함(Critical) 1500 - 2500 USDT
높음(High) 500 - 1000 USDT
중간(Medium) 200 - 300 USDT
낮음(Low) 50 - 100 USDT

통계

  1. 지난 반년 간 채택된 버그 리포팅 총 22건
  2. 지난 반년 간 지급된 보상 총 7,000 USDT

취약점 심각도 기준

주요한(Critical) 취약점 기준

주요한 취약점이란 핵심 업무 시스템(핵심 관제 시스템, 현장 관제, 업무 분배 시스템, 포트리스 머신 및 다수의 시스템을 관리할 수 있는 기타 관제 시스템)에서 발생하는 취약점을 의미합니다. 위 시스템에 심각한 영향을 미치고 비즈니스 시스템 제어 액세스 권한(실제 상황에 따라 다름)을 확보하고 핵심 시스템 관리 직원 액세스 권한을 얻고 핵심 시스템을 제어할 수도 있습니다.

여기에는 아래와 같은 상황이 포함되지만 내용에 따라 다양한 버그 리포팅을 검토할 수 있습니다.

  1. 내부 네트워크에서 여러 장치 액세스
  2. 핵심 백엔드 최고 관리자 액세스 권한을 얻고 엔터프라이즈 핵심 데이터를 유출하여 심각한 영향을 미치는 경우
  3. 스마트 컨트랙트 오버플로 및 조건부 경쟁 취약성

높은(High) 취약점 기준

  1. 시스템 액세스 권한을 얻는 경우(getshell, 명령 실행 등)
  2. 시스템 SQL 주입(백엔드 취약성 저하, 적절한 패키지 제출 우선 순위 지정)
  3. 인증 우회, 무차별 대입 공격 가능한 백엔드 비밀번호, 내부 네트워크에서 민감한 정보의 SSRF 획득 등을 통해 관리 배경에 대한 직접 액세스를 포함하되 이에 국한되지 않는 민감한 정보에 대한 무단 액세스를 얻는 경우
  4. 임의로 문서 읽기
  5. 모든 정보에 접근할 수 있는 XXE 취약점
  6. 승인되지 않은 작업에는 자금, 결제 논리 우회 등이 포함됩니다.(성공적으로 활용해야 함)
  7. 심각한 논리적 설계 결함 및 프로세스 결함. 여기에는 인증 코드 폭발을 제외하고 사용자 로그인 취약성, 일괄 계정 암호 수정 취약성, 엔터프라이즈 핵심 비즈니스와 관련된 논리 취약성 등이 포함되며, 경우에 따라 추가 사례를 인정합니다.
  8. 대규모로 사용자에게 영향을 미치는 기타 취약점. 여기에는 중요한 페이지에서 자동으로 전파될 수 있는 스토리지 XSS가 포함되며, 경우에 따라 추가 사례를 인정합니다. 스토리지 XSS는 관리자 인증 정보에 액세스하여 성공적으로 사용할 수 있습니다.
  9. 많은 소스 코드의 누출
  10. 스마트 컨트랙트의 권한 제어 결함

중간(Medium) 취약점 기준

  1. 상호작용 부분에 의해 사용자에게 영향을 미칠 수 있는 취약점. 여기에는 일반 페이지의 스토리지 XSS, 핵심 비즈니스와 관련된 CSRF 등이 포함되며, 경우에 따라 추가 사례를 인정합니다.
  2. 일반적인 무단 작업. 여기에는 제한을 우회하여 사용자 데이터를 수정하고 사용자 작업을 수행하는 것이 포함되며, 경우에 따라 추가 사례를 인정합니다.
  3. 서비스 거부 취약점. 여기에는 웹 애플리케이션의 서비스 거부로 인한 원격 서비스 거부 취약점이 포함되며, 경우에 따라 추가 사례를 인정합니다.
  4. 인증 코드 논리 결함으로 인해 계정 로그인 및 비밀번호 액세스 등과 같은 시스템 민감한 작업의 성공적인 폭발로 인해 발생하는 취약점
  5. 효과적으로 사용할 수 있어야 하는 로컬에 저장된 민감한 인증 키 정보의 유출
  6. 낮음(Low) 취약점 기준

낮음(Low) 취약점 기준

  1. 로컬 서비스 거부 취약점. 여기에는 로컬 클라이언트 서비스 거부(파싱 파일 형식, 네트워크 프로토콜에 의해 생성된 충돌), Android 구성 요소 권한 노출로 인한 문제, 일반 애플리케이션 액세스 등이 포함되며, 경우에 따라 추가 사례를 인정합니다.
  2. 일반 정보 유출. 여기에는 웹 경로 탐색, 시스템 경로 탐색, 디렉터리 탐색 등이 포함되며, 경우에 따라 추가 사례를 인정합니다.
  3. 반사형 XSS(DOM XSS/Flash XSS 포함)
  4. 일반 CSRF
  5. URL 건너뛰기 취약점
  6. SMS 폭탄, 메일 폭탄.(각 시스템은 이 취약점의 한 유형만 허용합니다)
  7. 비교적 덜 심각한 다른 취약성은 위험한 것으로 입증될 수 없습니다.(예: 민감한 정보에 액세스할 수 없는 CORS 취약성)
  8. 요청에 대한 응답값이 없거나 SSRF 공격을 시도했으나 완전히 성공한 공격이 아닐 경우

금지 행위

아래와 같은 행위로 인한 네트워크 단말 및 비정상적인 서비스 접속은 관련 법령에 따라 처리됩니다.

  1. 비트포렉스의 허가 없이 발견된 취약점의 세부 정보를 공개하는 것은 금지됩니다.
  2. Dos/DDoS 취약점, 사회공학적 공격, 스팸, 피싱 공격 등을 악용하는 것은 금지됩니다.
  3. 웹/포트 자동 스캐너 및 기타 많은 트래픽 요청을 유발할 수 있는 기타 동작은 사용하지 마십시오.
  4. 모든 취약성 테스트는 자신의 계정을 사용해야 합니다. 테스트/침입 작업을 위해 어떤 형태로든 다른 사용자 계정을 이용하는 것은 금지됩니다.
  5. 비즈니스, 제품, 아키텍처 등의 가용성을 포함하되 이에 국한되지 않는 잠재적인 영향이나 제한을 방지합니다.

QR 코드를 통해 Android 또는 iOS 앱을 다운로드 받으세요.