Bybit Kazakhstan платформасында қате үшін марапаттау бағдарламасы бар ма?

Иә, Bybit Kazakhstan платформасында қателер мен осалдықтарды анықтағаны үшін марапаттау бағдарламасы бар. Егер сіз жүйеде қандай да бір осалдықты байқаған болсаңыз және осы үшін сыйақы алғыңыз келсе, келесі қадамдарды орындаңыз:

 

1-қадам. Барлық табылған нәтижелерді реттелген әрі нақты форматта жинақтаңыз. Егер мүмкін болса, қате туралы GIF немесе бейнежазба ұсынғаныңыз үшін алғыс білдіреміз.

 

2-қадам. Қауіпсіздік туралы есебіңізді осы форма арқылы жіберіңіз және «API арқылы сауда / Қауіпсіздік осалдығы туралы хабарлау» нұсқасын таңдаңыз.

Бейнежазбалар үшін оларды Google Drive-қа жүктеп, бізбен бөлісу үшін сілтемесін жолдаңыз. Қосымша ақпарат алу үшін осы сілтемеге өтіңіз.

 

Осалдық мақұлданғанда қате үшін қандай сыйақы беріледі?

Төмендегі кестеде анықталған осалдықтың деңгейіне байланысты берілетін сыйақы мөлшері көрсетілген.

 

 

 

 

Қателердің/осалдықтардың әртүрлі деңгейлері қалай анықталады?

Қосымша ақпарат алу үшін төмендегі тізімге жүгініңіз:

 

Критикалық осалдықтар

Критикалық осалдықтар Критикалық осалдық негізгі бизнес жүйесінде (негізгі басқару жүйесі, дала бақылауы, бизнес тарату жүйесі, бекініс машинасы немесе үлкен жүйелерді басқаруға мүмкіндік беретін басқа басқару пункті) пайда болады. Мұндай осалдықтар бизнес басқару жүйесіне (нақты жағдайға байланысты) немесе негізгі жүйені басқаратын персоналға қол жеткізуге, тіпті жүйені толық бақылауға мүмкіндік беруі мүмкін.

 

Критикалық осалдықтарға мыналар жатады (бірақ олармен шектелмейді):

• Бірнеше құрылғының ішкі желіге қол жеткізуі

• Супер-әкімші базалық серверіне қол жеткізу, маңызды корпоративтік деректердің таралуы және елеулі әсер

• Ақылды келісімшарттардың тасып кетуі және шартты осалдықтар

 

 

 

Жоғары қауіптегі осалдықтар:

• Жүйеге қол жеткізу (getshell, командаларды орындау және т.б.)

• Жүйелік SQL инъекция (серверлік осалдықты пайдалану, қажет болғанда пакет жөнелтуді басым ету)

• Аутентификацияны айналып өтіп, басқару жүйесінің фонына тікелей қол жеткізу, ішкі құпиясөздер арқылы шабуыл жасау немесе ішкі желідегі SSRF арқылы құпия ақпаратқа қол жеткізу

• Құжаттарды еркін оқу

• XXE осалдығы арқылы кез келген ақпаратқа қол жеткізу

• Ақша немесе төлем логикасын айналып өтіп орындалған рұқсатсыз операция (сәтті пайдаланылған жағдайда)

• Дизайн мен технологиялық үдерістегі күрделі логикалық кемшіліктер (мысалы, қолданушы кіру осалдығы, серіктес аккаунт құпиясөзін өзгерту осалдығы, бизнес логикасына қатысты осалдықтар және т.б.)

• Көптеген қолданушыларға әсер ететін осалдықтар (мысалы, әкімші аутентификациясын алуға мүмкіндік беретін XSS, маңызды беттерде автоматты таралатын XSS)

• Бастапқы кодтың ағып кетуі

• Ақылды келісімшарттағы рұқсат бақылау қателері

 

 

 

Орташа тәуекелді осалдықтар:

• Қолданушымен әрекеттесу арқылы әсер ететін осалдықтар (мысалы, жалпы беттердегі сақталған XSS, негізгі бизнеске қатысты CSRF)

• Жалпы рұқсатсыз операциялар (қолданушы деректерін өзгерту, шектеулерді айналып өтіп әрекет орындау)

• Қызмет көрсетуден бас тарту осалдықтары (қашықтықтан DoS, веб-қосымшалардың істен шығуына себеп болатын осалдықтар)

• Тексеру коды логикасындағы ақаулар салдарынан есептік жазбаға рұқсатсыз кіру

• Аутентификация кілттеріне қатысты жергілікті сақталған құпия ақпараттың ағып кетуі

 

 

 

Төмен тәуекелді осалдықтар:

• Жергілікті DoS осалдықтары (мысалы, файл форматтарын өңдеу кезінде қателер, Android компоненттеріне рұқсат беру мәселелері)

• Жалпы ақпараттың ағып кетуі (веб-жолды немесе жүйелік жолды айналып өту, каталогты шолу және т.б.)

• XSS (DOM XSS немесе Reflected XSS)

• Жалпы CSRF

• URL мекенжайын айналып өту осалдығы

• SMS немесе пошта бомбалары (әр жүйе бір ғана түрін қабылдайды)

• Аз әсер ететін басқа осалдықтар (мысалы, зияны дәлелденбеген CORS осалдығы)

• SSRF терең пайдаланылмай, табыс әкелмейтін осалдықтар

 

 

 

Қазіргі уақытта қабылданбайтын осалдықтар (мұндай осалдық ұсынылса да, назарға алынбайды)

• Электрондық поштаны спуфинг жасау

• Пайдаланушылар тізімінің осалдығы

• Өзіне-өзі XSS немесе HTML инъекция

• CSP және SRI қауіпсіздік саясатының болмауы

• Маңызды емес әрекеттерге қатысты CSRF

• Android қосымшасындағы жеке ақаулар (мысалы, allowBackup="true")

• Суреттер өлшемін өзгерту немесе баяу сұраныстарды жасау

• NGINX сияқты нұсқа ақпараттарының ағып кетуі

• Қауіп төндірмейтін кейбір функционалдық қателер

• Bybit Kazakhstan-ке қарсы физикалық шабуыл немесе қызметкерлерге әлеуметтік инженерия арқылы шабуыл

 

 

 

Тыйым салынған әрекеттер

• Әлеуметтік инженерия немесе фишинг жасау

• Осалдық туралы ақпаратты жария ету

• PoC (proof of concept) шеңберінен тыс деструктивті тестілеу жүргізу (егер байқаусызда зиян келтірілсе, ол уақтылы хабарлануы тиіс)

• Жаппай сканерлеу үшін сканер қолдану (жүйенің істен шығуына әкелсе — заң аясында шаралар қолданылуы мүмкін)

• Тікелей беттерді өзгерту, cookie ұрлау, агрессивті жүктемелер қолдану (мысалы, DNSlog қолдану ұсынылады); мұндай жүктеме байқалса, дереу жойылуы тиіс, әйтпесе заңды жауапкершілік туындайды.