Чи є в Bybit програма винагороди за виправлення помилок?

Так, у Bybit є програма винагороди за виправлення помилок. Якщо ви помітили вразливість на Bybit і хочете отримати винагороду за виправлення помилки, будь ласка, дотримуйтесь наведених нижче інструкцій:

Крок 1: Об'єднайте всі ваші знахідки в чіткому та організованому форматі. Будемо дуже вдячні, якщо ви надасте GIF-файли або відеозаписи помилки. 

Крок 2: Надішліть свій звіт про безпеку та висновки через цю форму та виберіть опцію API Trading / Report a Security Vulnerability (Торгівля API / Повідомити про уразливість безпеки).

Для відеозаписів, будь ласка, завантажте їх на Google Диск та надішліть нам посилання, яким можна поділитися. Для отримання додаткової інформації про те, як це зробити, будь ласка, ознайомтеся тут.

 

Яка винагорода за помилку надається після схвалення вразливості?

Будь ласка, зверніться до таблиці нижче для отримання винагороди за виправлення помилок в залежності від рівня виявленої вразливості.
 

 

Як визначаються різні рівні помилок/вразливостей?

Будь ласка, зверніться до наведеного нижче списку для отримання додаткової інформації:
 

Критично небезпечні вразливості

Критично небезпечна вразливість стосується до вразливості, яка виникає в основній бізнес-системі (головній системі управління, системі управління процесами, системі розподілу, системі безпеки або іншому центрі контролю, який може керувати великою кількістю систем). Це може призвести до серйозних наслідків: отримання доступу до управління бізнес-системою (залежно від фактичної ситуації), отримання доступу до основної системи управління персоналом і навіть до основної системи контролю.
 

Критична вразливість охоплює, але не обмежується:

• Декілька пристроїв отримують доступ до внутрішньої мережі.
• Отримання прав адміністратора в ключовій серверній частині, яке призводить до витоку корпоративних даних і серйозних наслідків
• Переповнення смарт-контракту та вразливість умовної конкуренції

Вразливості високого рівня ризику

• Отримання доступу до системи (getshell, виконання команд тощо)
• Впровадження системного SQL (погіршення внутрішньої вразливості, встановлення пріоритетів щодо пакетів пошукових систем, у разі потреби)
• Отримання несанкціонованого доступу до конфіденційної інформації, включно з, прямим доступом до управління шляхом обходу аутентифікації, злому схильних до атак серверних паролів, SSRF-атак, отримання конфіденційної інформації у внутрішній мережі тощо
• Неправомірне читання документів
• XXE-вразливість, яка може отримати доступ до будь-якої інформації
• Несанкціонована операція, пов'язана з обходом платежів або платіжної логіки (необхідне успішне використання)
• Серйозні дефекти логічного проєктування та дефекти процесів. Цей пункт включає, але не обмежується, будь-якою вразливістю входу користувача, вразливістю пакетної зміни пароля акаунта, логічною вразливістю, яка пов'язана з основним бізнесом підприємства тощо, за винятком злому коду підтвердження
• Інші вразливості, які впливають на користувачів у великих масштабах. До них належать, але не обмежуються, сховище XSS, яке може автоматично поширюватися на важливі сторінки, і сховище XSS, яке може отримати доступ до інформації автентифікації адміністратора та успішно її використовувати
• Витік вихідного коду
• Недоліки керування дозволами у смарт-контрактах

 
 
Вразливості середнього рівня ризику

• Вразливість, яка може впливати на користувачів шляхом взаємодії, включаючи, окрім іншого, сховище XSS на спільних сторінках, CSRF за участю основного бізнесу тощо.
• Загальні несанкціоновані операції, які не обмежуються зміною даних користувача та виконанням операцій в обхід обмежень
• Уразливості відмови в обслуговуванні (DOS), включно, крім іншого, з віддаленими вразливостями відмови в обслуговуванні (DOS), спричиненими відмовою в обслуговуванні веб-застосунків
• Вразливості, спричинені успішним зломом системних, конфіденційних операцій, завдяки дефектам логіки коду підтвердження, наприклад доступ до будь-якого акаунта, пароля тощо
• Витік збереженої (локально) конфіденційної інформації про ключ автентифікації, який має бути доступний для ефективного використання.

  

Вразливості низького рівня ризику

• Локальні вразливості, що призводять до відмови в обслуговуванні, включають, крім іншого, локальну відмову в обслуговуванні клієнта (аналіз форматів файлів, збої, викликані мережевими протоколами), проблеми, спричинені розкриттям дозволів компонентів Android, загальними доступами до додатків і т.д
• Загальний витік інформації, що не обмежується обходом веб-шляху, обходом системного шляху, переглядом каталогів тощо
• XSS (у тому числі DOM XSS/відображена XSS)
• Загальний CSRF
• Вразливість пропуску URL-адрес
• SMS-атаки, поштові атаки (кожна система підтримує лише один тип цієї вразливості)
• Інші менш небезпечні вразливості (які не можуть бути доведені, наприклад, вразливість CORS, яка не може отримати доступ до конфіденційної інформації).
• Відсутність значення, що повертається, і поглиблене використання успішного SSRF

 

Вразливості, які наразіне приймаються (навіть якщо така вразливість буде виявлена, то вона буде проігнорована)

• Спуфінг електронних листів/пошт
• Вразливість переліку користувачів
• Самостійне впровадження XSS та HTML
• Відсутність політики безпеки CSP і SRI на сторінках
• Проблеми CSRF для неконфіденційних операцій
• Окрема проблема, пов'язана з Android-застосунком: android:allowBackup="true", в якому послуги локально заборонені і т.д. (крім поглибленого використання)
• Такі проблеми, як зміна розміру зображення, що призводить до повільних обробок запитів і т.д.
• Проблеми з витоком версій, таких як NGINX тощо
• Деякі функціональні помилки, які не загрожують безпеці
• Фізична атака на Bybit/атака за допомогою соціальної інженерії на співробітників Bybit

  

Заборонені дії

• Введення соціальної інженерії та/або участь у фішингу
• Витік інформації про вразливість
• Тестування вразливостей дозволено тільки в рамках PoC (перевірки концепції), деструктивне тестування суворо заборонено. Якщо під час тестування було завдано ненавмисної шкоди, про це слід повідомити негайно. При цьому необхідність виконання конфіденційних операцій під час тестування, як-от видалення, зміна та інші операції, має бути аргументована у звіті
• Використання сканера для масштабного сканування. Якщо бізнес-система або мережа стане недоступною, то вони будуть оброблені згідно з чинними законами.
• Ті, хто тестує вразливість, повинні намагатися уникати прямої зміни сторінки, постійної появи вікна повідомлення (DNSLog рекомендовано для перевірки xss), крадіжки файлів cookie та/або отримання агресивного корисного навантаження, такого як інформація про користувача (для сліпого тестування xss використовуйте dnslog). Якщо ви випадково використовуєте більш агресивне навантаження, негайно видаліть його. В іншому випадку ми можемо притягнути вас до юридичної відповідальності