Специалист
Регистрация: 06.04.2020
Сообщений: 186
|
Re: dragonex.io - биржа криптовалют DragonEx
Программа BUG Bounty
DragonEx стремится предоставить пользователям самую безопасную платформу. Мы хорошо осознаем важную роль внешних исследователей и разработчиков в области безопасности в обеспечении безопасности сообщества. 28 ноября 2019 г. мы запускаем программу вознаграждений за ошибки DragonEx. DragonEx приветствует отправку отчета об ошибке на этот адрес электронной почты: [email protected] .
Система вознаграждений:
Уровень уязвимости Рекомендуемая награда: - Высокий риск: 100-500 DT
- Средний риск: 30-100 DT
- Низкий риск: 10-30 DT
- Дополнительный 50% бонус за второй отчет, имеющий право на вознаграждение (как минимум средний риск)
- Дополнительный бонус 75% за третий отчет, имеющий право на вознаграждение (как минимум средний риск)
- Дополнительный 100% бонус за четвертый или более отчетов, имеющих право на вознаграждение (как минимум средний риск)
Описание уровня уязвимости
Уровни уязвимости подразделяются на три уровня: высокий риск, средний риск и низкий риск.
Таксономия рейтинга уязвимости выглядит следующим образом:
Высокий риск
Базовая оценка - 60-100. К группе высокого риска относятся, но не ограничиваются: - Разрешения на прямое получение системных разрешений (разрешения сервера, разрешения клиента), включая, помимо прочего, удаленное выполнение команд, выполнение произвольного кода, загрузку для получения Webshel, SQL-инъекцию для получения системных разрешений и другие уязвимости.
- Непосредственно ведет к отказу в обслуживании в важных службах, включая, помимо прочего, прямое приведение к отказу в обслуживании службы API, отказу в обслуживании веб-приложения и другим уязвимостям удаленного отказа в обслуживании, которые имеют серьезные последствия
- Утечка важной конфиденциальной информации, включая, помимо прочего, уязвимости SQL-инъекций в важных бизнес-базах данных, может вызвать вмешательство в конфиденциальную информацию, вызванное проблемами интерфейса, такими как большие объемы основных бизнес-данных.
- Серьезные недостатки логического дизайна и недостатки процессов, включая, помимо прочего, пакетную модификацию произвольного взлома пароля учетной записи, логические прорывы в основной деятельности и т. д.
- Несанкционированный доступ к конфиденциальной информации, включая, помимо прочего, обход аутентификации и прямой доступ к фону управления, слабые пароли в важном фоне и вторжения с подделкой запросов на стороне сервера (SSRF), которые получают большой объем конфиденциальной информации в интрасети.
- Конфиденциальные операции важного бизнеса предприятия за пределами полномочий, включая, помимо прочего, преимущественное право учетной записи на изменение важной информации, изменение важной бизнес-конфигурации и т. д.
- Другие вторжения, затрагивающие пользователей в крупном масштабе, включая, но не ограничиваясь, прорывы в хранимых межсайтовых атаках сценариев (включая сохраненные DOM-XSS), которые могут вызвать автоматическое распространение важных страниц.
Средний риск
Базовый балл составляет 30-50, средний риск включает, но не ограничивается: - Уязвимости, которые влияют на пользователей посредством сторон взаимодействия, включая, помимо прочего, уязвимости межсайтового скриптинга в типах хранилищ для общих страниц, вторжения с подделкой межсайтовых запросов (CSRF), затрагивающие основной бизнес и т. д.
- Обычные несанкционированные операции, включая, помимо прочего, обход ограничений для изменения информации пользователя, выполнение пользовательских операций и т. д.
- Общие недостатки логики и процесса, включая, помимо прочего, неограниченную отправку SMS, регистрацию любого мобильного адреса электронной почты и т. д.
Низкий риск
Базовая оценка составляет 10-20, а коэффициент вознаграждения может быть равен 0. Низкий риск включен, но не ограничен. - Локальные уязвимости отказа в обслуживании, включая, помимо прочего, локальный отказ в обслуживании клиента (анализ форматов файлов, сбои, вызванные сетевыми протоколами), а также проблемы, вызванные раскрытием разрешений компонентов Android, разрешениями общих приложений и т. д.
- Утечка общей информации, включая, помимо прочего, пароли хранения открытого текста на стороне клиента, обход веб-пути, вторжение при обходе системного пути и т. д.
- Другие уязвимости с минимальным ущербом, включая, помимо прочего, уязвимости отражающего межсайтового скриптинга (включая отражающий DOM-XSS), распространенную подделку межсайтовых запросов (CSRF), уязвимости расширений URL и т. д.
Дополнительное примечание:- DragonEx награждает только первого искателя ошибок, который отправил и прошел проверку. Подобные отчеты не будут получать вознаграждение, но DragonEx ответит пользователям, чтобы объяснить ситуацию;
- В процессе обработки отчета об уязвимостях, если у репортера есть какие-либо возражения против обработки, оценки уязвимости, оценки уязвимостей и т. Д., Он может связаться с нами по электронной почте.
- Распределение вознаграждений: Распределение вознаграждений будет произведено в течение 1 недели после проверки отчета об уязвимости, который можно просмотреть в учетной записи DragonEx - Счета; Награды будут выдаваться в виде DT, некоторые специальные отчеты DragonEx также предоставят дополнительные награды;
- DragonEx оставляет за собой право окончательной интерпретации;
|