Форум о заработке в интернете - Показать сообщение отдельно - dragonex.io

adelheid91 · 14.10.2020, 11:15

Программа BUG Bounty

DragonEx стремится предоставить пользователям самую безопасную платформу. Мы хорошо осознаем важную роль внешних исследователей и разработчиков в области безопасности в обеспечении безопасности сообщества. 28 ноября 2019 г. мы запускаем программу вознаграждений за ошибки DragonEx. DragonEx приветствует отправку отчета об ошибке на этот адрес электронной почты: [email protected] .

Система вознаграждений:

Уровень уязвимости Рекомендуемая награда:

Высокий риск: 100-500 DT
Средний риск: 30-100 DT
Низкий риск: 10-30 DT

Дополнительный 50% бонус за второй отчет, имеющий право на вознаграждение (как минимум средний риск)
Дополнительный бонус 75% за третий отчет, имеющий право на вознаграждение (как минимум средний риск)
Дополнительный 100% бонус за четвертый или более отчетов, имеющих право на вознаграждение (как минимум средний риск)

Описание уровня уязвимости
Уровни уязвимости подразделяются на три уровня: высокий риск, средний риск и низкий риск.
Таксономия рейтинга уязвимости выглядит следующим образом:

Высокий риск

Базовая оценка - 60-100. К группе высокого риска относятся, но не ограничиваются:

Разрешения на прямое получение системных разрешений (разрешения сервера, разрешения клиента), включая, помимо прочего, удаленное выполнение команд, выполнение произвольного кода, загрузку для получения Webshel, SQL-инъекцию для получения системных разрешений и другие уязвимости.
Непосредственно ведет к отказу в обслуживании в важных службах, включая, помимо прочего, прямое приведение к отказу в обслуживании службы API, отказу в обслуживании веб-приложения и другим уязвимостям удаленного отказа в обслуживании, которые имеют серьезные последствия
Утечка важной конфиденциальной информации, включая, помимо прочего, уязвимости SQL-инъекций в важных бизнес-базах данных, может вызвать вмешательство в конфиденциальную информацию, вызванное проблемами интерфейса, такими как большие объемы основных бизнес-данных.
Серьезные недостатки логического дизайна и недостатки процессов, включая, помимо прочего, пакетную модификацию произвольного взлома пароля учетной записи, логические прорывы в основной деятельности и т. д.
Несанкционированный доступ к конфиденциальной информации, включая, помимо прочего, обход аутентификации и прямой доступ к фону управления, слабые пароли в важном фоне и вторжения с подделкой запросов на стороне сервера (SSRF), которые получают большой объем конфиденциальной информации в интрасети.
Конфиденциальные операции важного бизнеса предприятия за пределами полномочий, включая, помимо прочего, преимущественное право учетной записи на изменение важной информации, изменение важной бизнес-конфигурации и т. д.
Другие вторжения, затрагивающие пользователей в крупном масштабе, включая, но не ограничиваясь, прорывы в хранимых межсайтовых атаках сценариев (включая сохраненные DOM-XSS), которые могут вызвать автоматическое распространение важных страниц.

Средний риск

Базовый балл составляет 30-50, средний риск включает, но не ограничивается:

Уязвимости, которые влияют на пользователей посредством сторон взаимодействия, включая, помимо прочего, уязвимости межсайтового скриптинга в типах хранилищ для общих страниц, вторжения с подделкой межсайтовых запросов (CSRF), затрагивающие основной бизнес и т. д.
Обычные несанкционированные операции, включая, помимо прочего, обход ограничений для изменения информации пользователя, выполнение пользовательских операций и т. д.
Общие недостатки логики и процесса, включая, помимо прочего, неограниченную отправку SMS, регистрацию любого мобильного адреса электронной почты и т. д.

Низкий риск
Базовая оценка составляет 10-20, а коэффициент вознаграждения может быть равен 0. Низкий риск включен, но не ограничен.

Локальные уязвимости отказа в обслуживании, включая, помимо прочего, локальный отказ в обслуживании клиента (анализ форматов файлов, сбои, вызванные сетевыми протоколами), а также проблемы, вызванные раскрытием разрешений компонентов Android, разрешениями общих приложений и т. д.
Утечка общей информации, включая, помимо прочего, пароли хранения открытого текста на стороне клиента, обход веб-пути, вторжение при обходе системного пути и т. д.
Другие уязвимости с минимальным ущербом, включая, помимо прочего, уязвимости отражающего межсайтового скриптинга (включая отражающий DOM-XSS), распространенную подделку межсайтовых запросов (CSRF), уязвимости расширений URL и т. д.

Дополнительное примечание:

DragonEx награждает только первого искателя ошибок, который отправил и прошел проверку. Подобные отчеты не будут получать вознаграждение, но DragonEx ответит пользователям, чтобы объяснить ситуацию;
В процессе обработки отчета об уязвимостях, если у репортера есть какие-либо возражения против обработки, оценки уязвимости, оценки уязвимостей и т. Д., Он может связаться с нами по электронной почте.
Распределение вознаграждений: Распределение вознаграждений будет произведено в течение 1 недели после проверки отчета об уязвимости, который можно просмотреть в учетной записи DragonEx - Счета; Награды будут выдаваться в виде DT, некоторые специальные отчеты DragonEx также предоставят дополнительные награды;
DragonEx оставляет за собой право окончательной интерпретации;

14.10.2020, 11:15	#5
adelheid91 Специалист Регистрация: 06.04.2020 Сообщений: 186 0 \| 0 0 \| 0	Re: dragonex.io - биржа криптовалют DragonEx Программа BUG Bounty DragonEx стремится предоставить пользователям самую безопасную платформу. Мы хорошо осознаем важную роль внешних исследователей и разработчиков в области безопасности в обеспечении безопасности сообщества. 28 ноября 2019 г. мы запускаем программу вознаграждений за ошибки DragonEx. DragonEx приветствует отправку отчета об ошибке на этот адрес электронной почты: [email protected] . Система вознаграждений: Уровень уязвимости Рекомендуемая награда: Высокий риск: 100-500 DT Средний риск: 30-100 DT Низкий риск: 10-30 DT Дополнительный 50% бонус за второй отчет, имеющий право на вознаграждение (как минимум средний риск) Дополнительный бонус 75% за третий отчет, имеющий право на вознаграждение (как минимум средний риск) Дополнительный 100% бонус за четвертый или более отчетов, имеющих право на вознаграждение (как минимум средний риск) Описание уровня уязвимости Уровни уязвимости подразделяются на три уровня: высокий риск, средний риск и низкий риск. Таксономия рейтинга уязвимости выглядит следующим образом: Высокий риск Базовая оценка - 60-100. К группе высокого риска относятся, но не ограничиваются: Разрешения на прямое получение системных разрешений (разрешения сервера, разрешения клиента), включая, помимо прочего, удаленное выполнение команд, выполнение произвольного кода, загрузку для получения Webshel, SQL-инъекцию для получения системных разрешений и другие уязвимости. Непосредственно ведет к отказу в обслуживании в важных службах, включая, помимо прочего, прямое приведение к отказу в обслуживании службы API, отказу в обслуживании веб-приложения и другим уязвимостям удаленного отказа в обслуживании, которые имеют серьезные последствия Утечка важной конфиденциальной информации, включая, помимо прочего, уязвимости SQL-инъекций в важных бизнес-базах данных, может вызвать вмешательство в конфиденциальную информацию, вызванное проблемами интерфейса, такими как большие объемы основных бизнес-данных. Серьезные недостатки логического дизайна и недостатки процессов, включая, помимо прочего, пакетную модификацию произвольного взлома пароля учетной записи, логические прорывы в основной деятельности и т. д. Несанкционированный доступ к конфиденциальной информации, включая, помимо прочего, обход аутентификации и прямой доступ к фону управления, слабые пароли в важном фоне и вторжения с подделкой запросов на стороне сервера (SSRF), которые получают большой объем конфиденциальной информации в интрасети. Конфиденциальные операции важного бизнеса предприятия за пределами полномочий, включая, помимо прочего, преимущественное право учетной записи на изменение важной информации, изменение важной бизнес-конфигурации и т. д. Другие вторжения, затрагивающие пользователей в крупном масштабе, включая, но не ограничиваясь, прорывы в хранимых межсайтовых атаках сценариев (включая сохраненные DOM-XSS), которые могут вызвать автоматическое распространение важных страниц. Средний риск Базовый балл составляет 30-50, средний риск включает, но не ограничивается: Уязвимости, которые влияют на пользователей посредством сторон взаимодействия, включая, помимо прочего, уязвимости межсайтового скриптинга в типах хранилищ для общих страниц, вторжения с подделкой межсайтовых запросов (CSRF), затрагивающие основной бизнес и т. д. Обычные несанкционированные операции, включая, помимо прочего, обход ограничений для изменения информации пользователя, выполнение пользовательских операций и т. д. Общие недостатки логики и процесса, включая, помимо прочего, неограниченную отправку SMS, регистрацию любого мобильного адреса электронной почты и т. д. Низкий риск Базовая оценка составляет 10-20, а коэффициент вознаграждения может быть равен 0. Низкий риск включен, но не ограничен. Локальные уязвимости отказа в обслуживании, включая, помимо прочего, локальный отказ в обслуживании клиента (анализ форматов файлов, сбои, вызванные сетевыми протоколами), а также проблемы, вызванные раскрытием разрешений компонентов Android, разрешениями общих приложений и т. д. Утечка общей информации, включая, помимо прочего, пароли хранения открытого текста на стороне клиента, обход веб-пути, вторжение при обходе системного пути и т. д. Другие уязвимости с минимальным ущербом, включая, помимо прочего, уязвимости отражающего межсайтового скриптинга (включая отражающий DOM-XSS), распространенную подделку межсайтовых запросов (CSRF), уязвимости расширений URL и т. д. Дополнительное примечание: DragonEx награждает только первого искателя ошибок, который отправил и прошел проверку. Подобные отчеты не будут получать вознаграждение, но DragonEx ответит пользователям, чтобы объяснить ситуацию; В процессе обработки отчета об уязвимостях, если у репортера есть какие-либо возражения против обработки, оценки уязвимости, оценки уязвимостей и т. Д., Он может связаться с нами по электронной почте. Распределение вознаграждений: Распределение вознаграждений будет произведено в течение 1 недели после проверки отчета об уязвимости, который можно просмотреть в учетной записи DragonEx - Счета; Награды будут выдаваться в виде DT, некоторые специальные отчеты DragonEx также предоставят дополнительные награды; DragonEx оставляет за собой право окончательной интерпретации; 0