Баг-баунти

Зарабатывай награды за отчеты о багах

О нас

BitForex - одна из ведущих криптовалютных бирж, которая предоставляет пользователям безопасные, профессиональные и удобные услуги по торговле криптовалютами. BitForex является одним из лидеров в индустрии обмена криптовалют, эффективно предоставляя широкий спектр торговых инструментов, включая торговлю токенами, маржинальную торговлю и деривативы, постоянно адаптируясь к новым потребностям рынка с постоянным внедрением новых функций.
Штаб-квартира компании находится в Гонконге, зарегистрирована на Сейшельских островах в 2017 году, независимые операционные группы расположены в Германии, Южной Корее, Сингапуре, России и других странах.
В октябре 2021 года BitForex обслужила более 5 миллионов пользователей из более чем 200 стран и регионов. Максимальное количество активных пользователей в день достигло 160 000.

Правила участия в Программе

  1. Все отчеты об ошибках и багах следует отправлять по адресу [email protected]
  2. Все отчеты об ошибках и багах оцениваются BitForex и выплачиваются в зависимости от серьезности уязвимости.
  3. Для получения выплаты за ошибки и баги Вам необходимо иметь аккаунт BitForex и привязать адрес электронной почты, который Вы использовали для сообщения об ошибках. Не забудьте указать в отчетах UID Вашего аккаунта BitForex. Вознаграждения будут поступать в USDT и распределяться на указанный Вами аккаунт.
  4. Запрос на выплату в обмен на информацию об уязвимости приведет к немедленной дисквалификации вознаграждений.
  5. Пожалуйста, предоставьте как можно более подробный отчет, чтобы мы могли воспроизвести ваши выводы. В противном случае, возможно, Вы упустите награды.
  6. За комбинированные уязвимости, которые можно использовать, мы платим только за самый высокий уровень уязвимостей. Для тех же уязвимостей мы заплатим только за первую, которая содержит достаточно подробностей в отчете.
  7. BitForex оставляет за собой право отменить или изменить правила вознаграждения за ошибки по своему усмотрению.

Программа

Включено в рамки Программы

URL Тип
*.bitforex.com Web
https://github.com/githubdev2020/API_Doc_en/wiki API
https://m.bitforex.com/en/download iOS
https://play.google.com/store/apps/details?id=com.bitforex.pro Android

Вне рамках Программы

Уязвимости, обнаруженные в ресурсах за пределами охвата, вероятно, не будут вознаграждены, если они не представляют серьезного бизнес-риска (по оценке BitForex).

  1. Проблемы с передовой практикой
  2. Самостоятельное XSS и HTML внедрение
  3. Невоспроизводимые уязвимости
  4. Уязвимость при перечислении пользователей
  5. Проблемы с утечкой версий, такие как Nginx и т. Д.
  6. Уязвимости в сторонних приложениях
  7. Уязвимости, требующие взаимодействия с пострадавшей стороной
  8. Проблемы CSRF для нечувствительных операций
  9. Отсутствие на веб-страницах политики безопасности CSP и SRI.
  10. Некоторые функциональные ошибки, не представляющие угрозы для безопасности
  11. Социальная инженерия, фишинг, физическая атака, подмена электронной почты или другие виды мошенничества.
  12. Некоторые проблемы, такие как изменение размера изображения, медленные запросы и т. Д.
  13. Недавно (менее 30 дней) обнаруженные уязвимости 0day, например, уязвимость log4j2.
  14. Уязвимости, требующие установки на устройство пострадавшей стороны любых сторонних приложений (в том числе вредоносных).
  15. Отдельная проблема с Android-приложением android: allowBackup = ”true”, а сервис запрещен локально и т. Д. (Если не используется всесторонне).

Категория уязвимости и Награды

Критическая 1500 - 2500 USDT
Высокая 500 - 1000 USDT
Средняя 200 - 300 USDT
Низкая 50 - 100 USDT

Статистика

  1. 22 закрытых отчета за последние полгода
  2. Выплата 7000 USDT за последнее полугодие

Степень уязвимости

Критическая уязвимость

Критическая уязвимость относится к уязвимости, которая возникает в основной бизнес-системе (основная система управления, управление на местах, бизнес-система распределения, машина-крепость и другие системы управления, которые могут управлять большим количеством систем). Это может нанести серьезный ущерб, получить доступ к управлению бизнес-системой (в зависимости от реальной ситуации), получить доступ к персоналу, управляющему основной системой, и даже управлять основной системой.

Оно включает, но не ограничивается:

  1. Доступ к нескольким устройствам во внутренней сети;
  2. Получение доступа суперадминистратора к основной серверной части, утечку основных данных предприятия и нанесение серьезного ущерба;
  3. Переполнение смарт-контрактов и уязвимость условной конкуренции.

Высокая уязвимость

  1. Получение доступа к системе (получение оболочки, выполнение команд и т. Д.).
  2. Внедрение системного SQL (снижение уровня уязвимости бэкэнда, приоритезация отправки пакетов по мере необходимости).
  3. Получите несанкционированный доступ к конфиденциальной информации, включая, помимо прочего, прямой доступ к фону управления путем обхода аутентификации, взлома паролей бэкэнда, получения SSRF конфиденциальной информации во внутренней сети и т. Д.
  4. Произвольное чтение документа.
  5. XXE уязвимость, которая может получить доступ к любой информации.
  6. Несанкционированная операция включает в себя деньги, обход платежной логики (необходимо успешно использовать).
  7. Серьезные логические дефекты конструкции и технологические дефекты. Это включает, помимо прочего, любую уязвимость входа пользователя, уязвимость пакетного изменения пароля учетной записи, логическую уязвимость, затрагивающую основной бизнес предприятия, и т. Д., За исключением взрыва кода проверки.
  8. Другие уязвимости, влияющие на пользователей в больших масштабах. Это включает, но не ограничивается, XSS хранилища, которое может автоматически распространяться на критические страницы. XSS-хранилище может получить доступ к информации аутентификации администратора и может быть успешно использовано.
  9. Утечка большого количества исходного кода.
  10. Разрешение контроля дефектов в смарт-контракте.

Средняя уязвимость

  1. Уязвимость, которая может затронуть пользователей посредством взаимодействия. Он включает, но не ограничивается, XSS хранилища на общих страницах, CSRF, связанный с основным бизнесом, и т. Д.
  2. Общая несанкционированная работа. Он включает, помимо прочего, изменение пользовательских данных и выполнение пользовательских операций в обход ограничений.
  3. Уязвимости, связанные с отказом в обслуживании. Он включает, но не ограничивается, уязвимости удаленного отказа в обслуживании, вызванные отказом в обслуживании веб-приложений.
  4. Уязвимости, вызванные успешным взрывом с помощью чувствительной к системе операции, такой как доступ к логину и паролю учетной записи и т. Д., Из-за логических дефектов кода проверки.
  5. Утечка локально хранимой конфиденциальной информации о ключе аутентификации, которую необходимо эффективно использовать.
  6. Низкая уязвимость

Низкая уязвимость

  1. Локальные уязвимости отказа в обслуживании. Он включает, помимо прочего, отказ в обслуживании локального клиента (анализ форматов файлов, сбои, генерируемые сетевыми протоколами), проблемы, вызванные раскрытием разрешений компонентов Android, общий доступ к приложениям и т. Д.
  2. Утечка общей информации. Это включает, помимо прочего, обход веб-пути, обход системного пути, просмотр каталогов и т. Д.
  3. Светоотражающий тип XSS (включая DOM XSS / Flash XSS).
  4. Общий CSRF.
  5. Уязвимость пропуска URL.
  6. SMS-бомбы, почтовые бомбы (каждая система принимает только один тип этой уязвимости).
  7. Невозможно доказать, что другие менее опасные уязвимости опасны (например, уязвимость CORS, которая не может получить доступ к конфиденциальной информации).
  8. Нет возвращаемого значения и нет глубокого использования успешного SSRF.

Запрещенное поведение

Сетевые терминалы и ненормальный доступ к сервисам, вызванный следующим поведением, будут обрабатываться в соответствии с соответствующими законами и постановлениями:

  1. Без разрешения BitForex запрещено раскрывать подробности любых обнаруженных уязвимостей.
  2. Запрещено злоупотребление Dos/DDoS-уязвимостями, атаками социальной инженерии, спамом, фишинговыми атаками и т. Д.
  3. Запрещено использовать автоматические сканеры веб-портов и других устройств, которые могут вызывать множество запросов трафика.
  4. Все тесты на уязвимости должны использовать Ваши собственные аккаунты. Запрещено получение других данных по аккаунтам пользователей в любой форме для операций тестирования/вторжения.
  5. Избегайте возможных воздействий или ограничений, включая, помимо прочего, доступность бизнеса, продуктов, архитектуры и т. д.

Сканировать QR-код установки приложения на Андроид и iOS