Есть ли у Bybit программа вознаграждения за обнаружение ошибок?

Да, у Bybit есть программа вознаграждения за обнаружение ошибок. Если вы заметили уязвимость в Bybit и хотите получить вознаграждение за ошибку, выполните следующие действия:  

Шаг 1: Объедините все свои находки в аккуратном и организованном формате. Предоставление GIF-файлов или видеозаписей ошибки желательно.

Step 2: Отправьте отчет о безопасности и то, что вы обнаружили, через эту форму и выберите опцию Торговля API / Сообщить об уязвимости в системе безопасности. 

Для видеозаписей, пожалуйста, загрузите их на Google Диск и отправьте нам ссылку для общего доступа. Для получения дополнительной информации о том, как это сделать, посетите эту страницу. 

 

 

Какова награда за обнаружение уязвимости, если заявка одобрена?

Пожалуйста, обратитесь к таблице ниже, чтобы узнать о вознаграждении за ошибку, доступном в зависимости от уровня обнаруженной уязвимости.

 

 

 

Как определяются различные уровни ошибок/уязвимостей?

Пожалуйста, обратитесь к списку ниже для получения дополнительной информации:
 

Критические уязвимости

Критические уязвимости — это уязвимости в основной бизнес-системе (главной системе управления, системе управления процессами, системе распределения, системе безопасности или другом центре контроля, который может управлять большим количеством систем). Эти уязвимости могут приводить к серьёзным последствиям, получению доступа к управлению бизнес-системой (в зависимости от ситуации) или ключевой системе управления персоналом, даже к контролю основной системы.

 

Критические уязвимости включают, помимо прочего:

• Доступ к внутренней сети несколькими устройствами
• Получение прав администратора в ключевой серверной части, которое приводит к утечке корпоративных данных и серьёзным последствиям
• Переполнение смарт-контрактов и уязвимость «состояния гонки»

 

Уязвимости с высоким риском

• Получение доступа к системе (getshell, выполнение команд и т. д.)
• Внедрение системного SQL (ухудшение серверных уязвимостей, установление приоритетов отправки пакетов по мере необходимости)
• Получение несанкционированного доступа к конфиденциальной информации, включая, помимо прочего, прямой доступ к управлению путём обхода аутентификации, взлома подверженных атакам серверных паролей, SSRF-атак, получения конфиденциальной информации во внутренней сети и т. д.
• Неправомерное чтение документов
• XXE-уязвимости, предоставляющие доступ к любой информации
• Осуществление несанкционированных операций, связанных с обходом платежей или платёжных процессов (при условии успешного осуществления)
• Значительные дефекты процессов или логического дизайна. К ним, помимо прочего, относятся: любая уязвимость авторизации пользователя, уязвимость пакетной модификации пароля аккаунта, логическая уязвимость в ключевом бизнесе корпорации и т. д., за исключением взлома кодов верификации
• Другие уязвимости, затрагивающие множество пользователей. К ним относятся, помимо прочего, хранимые XSS, которые автоматически распространяются на важные страницы, и хранимые XSS с возможностью доступа и использования данных аутентификации администратора
• Утечки исходного кода
• Дефекты управления доступом в смарт-контрактах

 

Уязвимости со средним риском

• Уязвимости взаимодействия, влияющие на пользователей, включая, помимо прочего, хранимые XSS на общих страницах, CSRF, затрагивающие основной бизнес, и т. д.
• Общие несанкционированные операции, не ограничивающиеся изменением пользовательских данных и выполнением пользовательских операций с помощью обхода ограничений
• Уязвимости отказа в обслуживании (DOS), включая, помимо прочего, удалённые уязвимости отказа в обслуживании (DOS), вызванные отказом в обслуживании веб-приложений
• Уязвимости, вызванные успешными атаками при помощи таких системных операций, как получение любого логина и пароля аккаунта и т.д., из-за дефектов логики кода верификации
• Утечки локально хранимой конфиденциальной информации о ключе аутентификации, которая должна быть доступна для эффективного использования

 

Уязвимости с низким риском

• Локальные уязвимости отказа в обслуживании (DOS), включая, помимо прочего, локальный отказ в обслуживании (DOS) клиентов (парсинг форматов файлов; сбои, вызванные сетевыми протоколами); проблемы, вызванные раскрытием доступа к компонентам Android; общий доступ к приложениям и т. д.
• Общие утечки информации, не ограничивающиеся обходом веб-каталога, обходом системного каталога, просмотром каталогов и т. д.
• XSS (включая DOM XSS/отражённый XSS)
• Общие CSRF
• Уязвимости пропуска URL
• SMS-атаки, почтовые атаки (каждая система допускает только один тип этой уязвимости)
• Другие менее опасные уязвимости (которые не могут быть доказаны, например уязвимость CORS, не предоставляющая доступ к конфиденциальной информации)
• Отсутствие возвращаемого значения и углублённого использования успешных SSRF

 

Уязвимости, которые на данный момент не принимаются (уведомления об этих уязвимостях будут проигнорированы)

• Спуфинг электронной почты
• Уязвимость перечисления пользователей
• Самостоятельное внедрение XSS и HTML
• Отсутствие политики безопасности CSP и SRI на страницах
• Ошибки CSRF при осуществлении неконфиденциальных операций
• Ошибка в Android-приложении android:allowBackup=”true”, связанная с локальным отказом в обслуживании (DOS) и т. д. (за исключением углублённого использования)
• Проблемы, связанные с изменением размера изображения, медленными запросами и т. д.
• Ошибки, связанные с утечками версий, например NGINX и т. д.
• Функциональные ошибки, не представляющие угрозы безопасности
• Физические атаки на Bybit / социальная инженерия по отношению к сотрудникам Bybit

 

Запрещённые действия

• Осуществление социальной инженерии и/или участие в фишинге
• Распространение информации об уязвимостях
• Тестирование уязвимостей разрешено только в рамках PoC (проверки концепции), деструктивное тестирование строго запрещено. Если во время тестирования был причинён непреднамеренный вред, об этом следует сообщить незамедлительно. При этом необходимость выполнения конфиденциальных операций во время тестирования, таких как удаление, изменение и другие операции, должна быть аргументирована в отчёте
• Использование сканера для масштабного сканирования уязвимостей. Если бизнес-система или сеть станет недоступной, эта проблема будет решена в соответствии с применимыми законами
• Пользователи, тестирующие уязвимости, должны стараться избегать прямого изменения страницы, продолжительного вывода окон с сообщением (рекомендуется использовать DNSLog для верификации xss), хищения файлов cookie и/или получения агрессивной полезной нагрузки, такой как информация пользователей (для слепого тестирования xss используйте dnslog). Если вы случайно использовали более агрессивную полезную нагрузку, немедленно удалите её. В противном случае мы можем привлечь вас к соответствующей юридической ответственности.