Caça aos Bugs

Ganhe Recompensas ao Reportar Bugs

Sobre nós

A BitForex é uma das principais exchanges de criptomoedas, dedicada a fornecer aos usuários serviços seguros de negociação de cripto ativos, de forma profissional e conveniente. A BitForex está liderando a tendência da indústria de câmbio de criptomoedas, fornecendo efetivamente uma ampla gama de ferramentas de negociação, incluindo negociação de tokens, negociação de margem e derivativos que se adaptamconstantemente às novas necessidades do mercado com a introdução contínua de novos recursos.
A empresa está sediada em Hong Kong, registrada na República de Seychelles desde 2017, com equipes operacionais independentes localizadas na Alemanha, Coreia do Sul, Cingapura, Rússia e muito mais.
Até outubro de 2021, a BitForex já atendia a mais de 5 milhões de usuários em mais de 200 países e regiões. O máximo de usuários ativos diários atingiu 160.000.

Regras do programa

  1. Todos os relatórios de bugs devem ser enviados para https://hackenproof.com/bitforex/bitforex
  2. Todos os relatórios de bugs são avaliados pela BitForex e pagos com base na gravidade da vulnerabilidade.
  3. Forneça um relatório o mais detalhado possível para que possamos reproduzir suas descobertas. Caso contrário, talvez você perca recompensas.
  4. Para vulnerabilidades exploráveis ​​combinadas, pagaremos apenas pelo nível mais alto de vulnerabilidades. Para as mesmas vulnerabilidades, pagaremos apenas pela primeira que inclua detalhes suficientes no relatório.
  5. A BitForex reserva-se o direito de cancelar ou alterar as regras de recompensa de bug a nosso exclusivo critério.

Escopos do programa

no escopo

URL do tipo de
*.bitforex.com Web
https://github.com/githubdev2020/API_Doc_en/wiki API
https://m.bitforex.com/en/download iOS
https://play.google.com/store/apps/details?id=com.bitforex.pro Android

fora do escopo

Vulnerabilidades encontradas em recursos fora do escopo provavelmente não serão recompensadas, a menos que apresentem um sério risco de negócios (avaliado pela BitForex).

  1. As melhores práticas referem
  2. -se a Auto-XSS e injeção de HTML
  3. Vulnerabilidades não reproduzíveis Vulnerabilidade de
  4. enumeração de usuário
  5. Problemas de vazamento de versão, como Nginx, etc.
  6. Vulnerabilidades em aplicativos de terceiros
  7. Vulnerabilidades que exigem interação da vítima
  8. Problemas de CSRF para operações não confidenciais
  9. As páginas da Web não têm políticas de segurança CSP e SRI
  10. Alguns funcionais bugs que não representam um problema de risco de segurança
  11. Engenharia social, phishing, ataque físico, falsificação de e-mail ou outras atividades de fraude
  12. Alguns problemas, como alterar o tamanho da imagem e causar solicitações lentas, etc.
  13. Recentemente (menos de 30 dias) divulgado 0 dia vulnerabilidades, por exemplo, a vulnerabilidade log4j2
  14. Vulnerabilidades que exigem que qualquer aplicativo de terceiros (incluindo malware) seja instalado no dispositivo da vítima
  15. Um problema separado sobre o aplicativo Android Android: allowBackup = ”true”, e o serviço é negado localmente, etc. (a menos que seja usado em profundidade)

Severidade e Recompensas

Críticas 1500 - 2500 USDT
Alto 500 - 1000 USDT
Médio 200 - 300 USDT
Baixo 50 - 100 USDT

Estatísticas

  1. 22 relatórios fechados no último semestre
  2. 7000 USDT payout no último semestre

Vulnerabilidade e Severidade

Vulnerabilidade

crítica Uma vulnerabilidade crítica refere-se à vulnerabilidade que ocorre no sistema de negócios principal (o sistema de controle principal, controle de campo, distribuição de negócios sistema, máquina fortaleza e outros sistemas de controle que podem gerenciar um grande número de sistemas). Isso pode causar um impacto severo, obter acesso de controle do sistema de negócios (dependendo da situação real), obter acesso da equipe de gerenciamento do sistema central e até mesmo controlar o sistema central.

Inclui, mas não está limitado a:

  1. Acesso a vários dispositivos na rede interna;
  2. Obtenha acesso de super administrador ao back-end central, vaze dados centrais da empresa e cause um impacto severo;
  3. Estouro de contrato inteligente e vulnerabilidade à concorrência condicional.

Alta vulnerabilidade

  1. Obtenha acesso ao sistema (getshell, execução de comando, etc.).
  2. Injeção de SQL do sistema (degradação da vulnerabilidade de back-end, priorização do envio de pacotes conforme apropriado).
  3. Obtenha acesso não autorizado às informações confidenciais, incluindo, mas não se limitando ao acesso direto ao plano de fundo do gerenciamento, ignorando a autenticação, senhas de back-end atacáveis ​​por força bruta, obtendo SSRF de informações confidenciais na rede interna, etc.
  4. Leitura arbitrária de documentos.
  5. Vulnerabilidade XXE que pode acessar qualquer informação.
  6. A operação não autorizada envolve dinheiro, ignorar a lógica de pagamento (precisa ser utilizada com sucesso).
  7. Defeitos graves de projeto lógico e defeitos de processo. Isso inclui, mas não está limitado a qualquer vulnerabilidade de login de usuário, a vulnerabilidade de modificação de senha de conta em lote, vulnerabilidade lógica envolvendo negócios principais da empresa, etc., exceto para explosão do código de verificação.
  8. Outras vulnerabilidades que afetam os usuários em grande escala. Isso inclui, mas não está limitado ao XSS de armazenamento que pode ser propagado automaticamente nas páginas críticas. O XSS de armazenamento pode acessar as informações de autenticação do administrador e ser utilizado com êxito.
  9. Vazamento de muito código-fonte.
  10. Os defeitos de controle de permissão no contrato inteligente.

Vulnerabilidade média

  1. A vulnerabilidade que pode afetar os usuários pela parte de interação. Inclui, mas não está limitado ao armazenamento XSS nas páginas gerais, CSRF envolvendo o negócio principal, etc.
  2. Operação geral não autorizada. Inclui, mas não está limitado a, modificar os dados do usuário e realizar operações do usuário, ignorando as restrições.
  3. Vulnerabilidades de negação de serviço. Inclui, mas não está limitado às vulnerabilidades de negação de serviço remota causadas pela negação de serviço de aplicativos da web.
  4. As vulnerabilidades causadas por uma explosão bem-sucedida com a operação sensível do sistema, como qualquer login de conta e acesso de senha, etc., devido a defeitos lógicos do código de verificação.
  5. O vazamento de informações de chaves de autenticação confidenciais armazenadas localmente, que precisam ser usadas com eficácia.
  6. Baixa vulnerabilidade Vulnerabilidades

Baixa vulnerabilidade Vulnerabilidades

  1. locais de negação de serviço. Inclui, mas não está limitado à negação de serviço do cliente local (análise de formatos de arquivo, travamentos gerados por protocolos de rede), problemas causados ​​pela exposição de permissão do componente Android, acesso geral ao aplicativo, etc.
  2. Vazamento de informações gerais. Isso inclui, mas não está limitado a passagem de caminho da Web, passagem de caminho do sistema, navegação de diretório, etc.
  3. Tipo reflexivo XSS (incluindo DOM XSS / Flash XSS).
  4. CSRF geral.
  5. Vulnerabilidade de salto de URL.
  6. Bombas SMS, bombas de correio (cada sistema aceita apenas um tipo desta vulnerabilidade).
  7. Outras vulnerabilidades menos prejudiciais não podem ser comprovadas como perigosas (como a vulnerabilidade CORS que não pode acessar informações confidenciais).
  8. Nenhum valor de retorno e nenhuma utilização em profundidade de SSRF bem-sucedido.

Comportamentos proibidos

Terminais de rede e acesso anormal ao serviço causado pelos comportamentos abaixo serão tratados de acordo com as leis e regulamentos relevantes:

  1. Sem permissão da BitForex, é proibido divulgar os detalhes de quaisquer vulnerabilidades descobertas.
  2. É proibido abusar de vulnerabilidades Dos / DDoS, ataques de engenharia social, spam, ataques de phishing, etc.
  3. É proibido usar verificadores automáticos de porta / web e outros comportamentos que podem causar muitas solicitações de tráfego.
  4. Todos os testes de vulnerabilidade devem usar suas próprias contas. É proibido obter outras contas de usuário em qualquer forma para operações de teste / intrusão.
  5. Evite possíveis impactos ou restrições, incluindo, mas não se limitando à disponibilidade de negócios, produtos, arquitetura, etc.

Leia o código e baixe para iOS ou Android