МәлімдемеМәлімдеме: Бұл мақала машиналық аударма арқылықазақ тіліне аударылды. Нақтыланған нұсқа кейінірек жарияланады.

 

 

 

 

Bybit kazakhstan-те қате үшін сыйақы бағдарламасы бар ма?

Иә, Bybit kazakhstan-те қате үшін сыйақы бағдарламасы бар. Егер сіз Bybit kazakhstan жүйесінде осалдықты байқасаңыз және қате үшін сыйақы алғыңыз келсе, төмендегі қадамдарға назар салыңыз:

 

1-қадам: Барлық тапқандарыңызды жинақы және ұйымдастырылған форматта дайындаңыз. Қатенің GIF немесе бейне жазбаларын ұсыну үлкен құрметке ие болады. 

 

2-қадам: Қауіпсіздік есептемеңізді және тапқандарыңызды осы форма арқылы жіберіңіз және API Trading / Қауіпсіздік осалдығын хабарлау опциясын таңдаңыз.

 

Бейне жазбалар үшін оны Google Drive-ке жүктеп, бізге ортақ сілтемені жіберіңіз. Оны қалай жасау керектігі туралы толығырақ ақпарат алу үшін осында келіңіз.

 

 

 

Осалдық мақұлданғанда қандай қате үшін сыйақы беріледі?

Төмендегі таблицада табылған осалдық деңгейіне байланысты қолда бар қате үшін сыйақы көрсетілген.

 

 

 

 

Қателердің/осалдықтардың әртүрлі деңгейлері қалай анықталады?

Қосымша ақпарат алу үшін төмендегі тізімге жүгініңіз:

 

Сындарлы осалдықтар

Сындарлы осалдық негізгі бизнес жүйесінде (негізгі басқару жүйесі, дала бақылауы, бизнес тарату жүйесі, бекініс машинасы немесе үлкен жүйелерді басқаруға мүмкіндік беретін басқа басқарудың орны) пайда болған жағдайды білдіреді. Бұл елеулі әсер тудыруы мүмкін, бизнес жүйесінің басқару қолжетімділігін алуы (нақты жағдайға байланысты) немесе негізгі жүйе басқару қызметкерлерінің қолжетімділігін алуы және тіпті негізгі жүйені бақылауы мүмкін.

 

Сындарлы осалдық төмендегі жағдайларды қамтиды, бірақ олармен шектелмейді:

• Көптеген құрылғылар ішкі желіге кіреді

• Негізгі артқы жақ супер әкімшіге қолжетімділікті алу, кәсіпорынның негізгі деректерін тарату және елеулі әсер тудыру

• Ақылды келісімшарт төгілуі және шартты бәсекелестік осалдығы

 

 

Жоғары қауіптегі осалдықтар

• Жүйеге қолжетімділік алу (getshell, команда орындау және т.б.)

• Жүйелік SQL инъекция (артқы жол осалдығының төмендеуі, тиісті жағдайда пакет тапсырылуын басымдықпен қарастыру)

• Аутентификацияны айналып өту арқылы басқару жүйесінің фонына тікелей қол жеткізу, қатал күш шабуылына қарсы тұратын артқы парольдер, немесе ішкі желідегі сезімтал ақпараттың SSRF алу, және т.б. соның ішінде, бірақ солармен шектелмейтін, сезімтал ақпаратқа рұқсатсыз қол жеткізу.

• Еркін құжатты оқу

• Кез-келген ақпаратқа қол жеткізе алатын XXE осалдығы

• Ақша не төлем логикасына байланысты айналып өтіп орындалатын рұқсатсыз операция (сәтті қолдануды қажет етеді)

• Серіозды логикалық дизайн кемшіліктері және үдеріс кемшіліктері. Бұл кез-келген қолданушының кіру осалдығы, есептік жазба паролін пакет түрінде өзгерту осалдығы, компанияның негізгі бизнесімен байланысты логика осалдығы, және т.б., соның ішінде тексеру кодын жарып жіберуді қоспағанда.

• Пайдаланушыларға үлкен масштабта әсер ететін басқа осалдықтар. Бұлар маңызды беттерде автоматты түрде таралуы мүмкін сақталатын XSS және әкімші аутентификация ақпаратын алуға болатын және сәтті қолданылатын сақталатын XSS, соның ішінде, бірақ солармен шектелмейтіндер

• Дерек кодтың ағуы

• Ақылды келісімшарттағы рұқсат бақылау кемшіліктері

 

 

Орташа тәуекел осалдықтар

• Қолданушыларға әсер етуі мүмкін, соның ішінде, бірақ солармен шектелмейтін, жалпы беттердегі сақталатын XSS, негізгі бизнеске қатысты CSRF сияқты өзара әрекеттестік арқылы қолданушыларға әсер ететін осалдықтар

• Жалпы рұқсатсыз операция, соның ішінде қолданушы деректерін өзгерту және шектеулерді айналып өтіп қолданушы операциясын орындау

• Қызмет көрсетуден бас тарту осалдықтары, оның ішінде, соның ішінде, бірақ солармен шектелмейтін, желілік қосымшалар қызметінен бас тартуынан туындаған қашықтықтан қызмет көрсетуден бас тарту осалдықтары

• Тексеру коды логикасының кемшіліктерінен жүйенің сезімтал операциямен байланысты кез келген есептік жазбаға кіру және парольге кіру сияқты табысты жарылыс арқылы туындаған осалдықтар

• Жергілікті сақталған, құпиялылықты сақтау кілт ақпараттарын ағып кетуі, оны тиімді пайдалануда қолжетімді болуы керек

 

 

Төмен тәуекелді осалдықтар

• Жергілікті қызметтік істен шығу осалдығына клиенттік жергілікті істен шығу (файл форматтарын талдау, желі протоколдары арқылы пайда болған браустар), Android компонентердің рұқсатын ашудан туындаған мәселелер, жалпы қолданбалыға қолжетімділік және т.б. кіреді, бірақ шектелмейді.

• Жалпы ақпараттың ағып кетуі, оған веб жол байланысын айналып өту, жүйе жол байланысын айналып өту, каталогты шолу және т.б. кіреді, бірақ шектелмейді.

• XSS (DOM XSS/Айналық XSS)

• Жалпы CSRF

• URL айналып өту осалдығы

• SMS бомбалары, пошта бомбалары (әр жүйе үшін осы осалдықтың бір ғана түрі қабылданады).

• Аз зиянды басқа осалдықтар (және сенімді түрде зиянын дәлелдеу мүмкін болмаса, мысалы, құпия ақпаратқа қолжеткізе алмайтын CORS осалдығы) 

• Қайтарылатын мәнсіз және терең пайдалануы жоқ сәтті SSRF

 

 

Қазіргі уақытта қабылданбайтын осалдықтар (мұндай осалдық ұсынылса да, назарға алынбайды)

• Электрондық поштадағы спуфинг

• Пайдаланушының идентификация осалдығы

• Өз-іне XSS & HTML инъекциалау

• CSP және SRI қауіпсіздік саясаты жоқ веб беттер

• Маңызсыз операциялар үшін CSRF мәселелері

• Android қолданбасына қатысты жеке мәселе android:allowBackup=”true”, жергілікті қызметтен бас тарту және т.б. (терең пайдаланудан басқа)

• Сурет өлшемін өзгерту, сұраныстарды баяулату сияқты мәселелер.

• Нұсқа нұсқаларының ағып кету мәселелері, мысалы NGINX және т.б.

• Қауіпсіздік қатері болмайтын кейбір функционалдық қателер

• Bybit kazakhstan-ке физикалық шабуыл жасау / Bybit kazakhstan қызметкерлеріне әлеуметтік инженерия шабуылы

 

 

Тыйым Салынған Мінез-құлықтар

• Әлеуметтік инженерия жүргізу және/немесе фишингпен айналысу

• Осалдықтың мәліметтерін жариялау

• Осалдыққа сынау тек PoC (ұғымды дәлелдеу) деңгейінде шектеледі, ал жойғыш сынақтар қатаң түрде тыйым салынады. Сынау барысында байқаусызда зиян келтірілсе, оны уақтылы хабарлау керек. Осы уақытта тест кезінде орындалған сезімтал операциялар, мысалы, жою, өзгерту және басқа операциялар, есепте түсіндірілуі керек

• Үлкен көлемді сканерлеу үшін сканерді пайдалану. Егер бизнес жүйесі немесе желі қол жетімсіз болса, ол тиісті заңдарға сәйкес шешіледі

• Осалдықты сынайтындар беттерді тiкелей өзгертпеуге тырысуы керек, хабарламалар терезесінің шығуын (XSS дәлелдеу үшін DNSLog ұсынылады) жалғастырмауға, кукилерді ұрлауға және/немесе пайдаланушы туралы ақпарат сияқты агрессивті жүктемені алуға тырыспауы керек (көрудегі xss сынағы үшін, dnslog пайдаланыңыз). Егер сіз байқаусызда агрессивті жүктемені қолдансаңыз, оны тез арада жоюыңыз керек. Олай болмаған жағдайда, біз байланысты заңдық жауапкершіліктерді іздеуге құқылымыз.

span>: Бұл мақала машиналық аударма арқылықазақ тіліне аударылды. Нақтыланған нұсқа кейінірек жарияланады.

 

 

 

 

 

Bybit kazakhstan-те қате үшін сыйақы бағдарламасы бар ма?

Иә, Bybit kazakhstan-те қате үшін сыйақы бағдарламасы бар. Егер сіз Bybit kazakhstan жүйесінде осалдықты байқасаңыз және қате үшін сыйақы алғыңыз келсе, төмендегі қадамдарға назар салыңыз:

 

1-қадам: Барлық тапқандарыңызды жинақы және ұйымдастырылған форматта дайындаңыз. Қатенің GIF немесе бейне жазбаларын ұсыну үлкен құрметке ие болады. 

 

2-қадам: Қауіпсіздік есептемеңізді және тапқандарыңызды осы форма арқылы жіберіңіз және API Trading / Қауіпсіздік осалдығын хабарлау опциясын таңдаңыз.

 

Бейне жазбалар үшін оны Google Drive-ке жүктеп, бізге ортақ сілтемені жіберіңіз. Оны қалай жасау керектігі туралы толығырақ ақпарат алу үшін осында келіңіз.

 

 

 

Осалдық мақұлданғанда қандай қате үшін сыйақы беріледі?

Төмендегі таблицада табылған осалдық деңгейіне байланысты қолда бар қате үшін сыйақы көрсетілген.

 

 

 

 

Қателердің/осалдықтардың әртүрлі деңгейлері қалай анықталады?

Қосымша ақпарат алу үшін төмендегі тізімге жүгініңіз:

 

Сындарлы осалдықтар

Сындарлы осалдық негізгі бизнес жүйесінде (негізгі басқару жүйесі, дала бақылауы, бизнес тарату жүйесі, бекініс машинасы немесе үлкен жүйелерді басқаруға мүмкіндік беретін басқа басқарудың орны) пайда болған жағдайды білдіреді. Бұл елеулі әсер тудыруы мүмкін, бизнес жүйесінің басқару қолжетімділігін алуы (нақты жағдайға байланысты) немесе негізгі жүйе басқару қызметкерлерінің қолжетімділігін алуы және тіпті негізгі жүйені бақылауы мүмкін.

 

Сындарлы осалдық төмендегі жағдайларды қамтиды, бірақ олармен шектелмейді:

• Көптеген құрылғылар ішкі желіге кіреді

• Негізгі артқы жақ супер әкімшіге қолжетімділікті алу, кәсіпорынның негізгі деректерін тарату және елеулі әсер тудыру

• Ақылды келісімшарт төгілуі және шартты бәсекелестік осалдығы

 

 

Жоғары қауіптегі осалдықтар

• Жүйеге қолжетімділік алу (getshell, команда орындау және т.б.)

• Жүйелік SQL инъекция (артқы жол осалдығының төмендеуі, тиісті жағдайда пакет тапсырылуын басымдықпен қарастыру)

• Аутентификацияны айналып өту арқылы басқару жүйесінің фонына тікелей қол жеткізу, қатал күш шабуылына қарсы тұратын артқы парольдер, немесе ішкі желідегі сезімтал ақпараттың SSRF алу, және т.б. соның ішінде, бірақ солармен шектелмейтін, сезімтал ақпаратқа рұқсатсыз қол жеткізу.

• Еркін құжатты оқу

• Кез-келген ақпаратқа қол жеткізе алатын XXE осалдығы

• Ақша не төлем логикасына байланысты айналып өтіп орындалатын рұқсатсыз операция (сәтті қолдануды қажет етеді)

• Серіозды логикалық дизайн кемшіліктері және үдеріс кемшіліктері. Бұл кез-келген қолданушының кіру осалдығы, есептік жазба паролін пакет түрінде өзгерту осалдығы, компанияның негізгі бизнесімен байланысты логика осалдығы, және т.б., соның ішінде тексеру кодын жарып жіберуді қоспағанда.

• Пайдаланушыларға үлкен масштабта әсер ететін басқа осалдықтар. Бұлар маңызды беттерде автоматты түрде таралуы мүмкін сақталатын XSS және әкімші аутентификация ақпаратын алуға болатын және сәтті қолданылатын сақталатын XSS, соның ішінде, бірақ солармен шектелмейтіндер

• Дерек кодтың ағуы

• Ақылды келісімшарттағы рұқсат бақылау кемшіліктері

 

 

Орташа тәуекел осалдықтар

• Қолданушыларға әсер етуі мүмкін, соның ішінде, бірақ солармен шектелмейтін, жалпы беттердегі сақталатын XSS, негізгі бизнеске қатысты CSRF сияқты өзара әрекеттестік арқылы қолданушыларға әсер ететін осалдықтар

• Жалпы рұқсатсыз операция, соның ішінде қолданушы деректерін өзгерту және шектеулерді айналып өтіп қолданушы операциясын орындау

• Қызмет көрсетуден бас тарту осалдықтары, оның ішінде, соның ішінде, бірақ солармен шектелмейтін, желілік қосымшалар қызметінен бас тартуынан туындаған қашықтықтан қызмет көрсетуден бас тарту осалдықтары

• Тексеру коды логикасының кемшіліктерінен жүйенің сезімтал операциямен байланысты кез келген есептік жазбаға кіру және парольге кіру сияқты табысты жарылыс арқылы туындаған осалдықтар

• Жергілікті сақталған, құпиялылықты сақтау кілт ақпараттарын ағып кетуі, оны тиімді пайдалануда қолжетімді болуы керек

 

 

Төмен тәуекелді осалдықтар

• Жергілікті қызметтік істен шығу осалдығына клиенттік жергілікті істен шығу (файл форматтарын талдау, желі протоколдары арқылы пайда болған браустар), Android компонентердің рұқсатын ашудан туындаған мәселелер, жалпы қолданбалыға қолжетімділік және т.б. кіреді, бірақ шектелмейді.

• Жалпы ақпараттың ағып кетуі, оған веб жол байланысын айналып өту, жүйе жол байланысын айналып өту, каталогты шолу және т.б. кіреді, бірақ шектелмейді.

• XSS (DOM XSS/Айналық XSS)

• Жалпы CSRF

• URL айналып өту осалдығы

• SMS бомбалары, пошта бомбалары (әр жүйе үшін осы осалдықтың бір ғана түрі қабылданады).

• Аз зиянды басқа осалдықтар (және сенімді түрде зиянын дәлелдеу мүмкін болмаса, мысалы, құпия ақпаратқа қолжеткізе алмайтын CORS осалдығы) 

• Қайтарылатын мәнсіз және терең пайдалануы жоқ сәтті SSRF

 

 

Қазіргі уақытта қабылданбайтын осалдықтар (мұндай осалдық ұсынылса да, назарға алынбайды)

• Электрондық поштадағы спуфинг

• Пайдаланушының идентификация осалдығы

• Өз-іне XSS & HTML инъекциалау

• CSP және SRI қауіпсіздік саясаты жоқ веб беттер

• Маңызсыз операциялар үшін CSRF мәселелері

• Android қолданбасына қатысты жеке мәселе android:allowBackup=”true”, жергілікті қызметтен бас тарту және т.б. (терең пайдаланудан басқа)

• Сурет өлшемін өзгерту, сұраныстарды баяулату сияқты мәселелер.

• Нұсқа нұсқаларының ағып кету мәселелері, мысалы NGINX және т.б.

• Қауіпсіздік қатері болмайтын кейбір функционалдық қателер

• Bybit kazakhstan-ке физикалық шабуыл жасау / Bybit kazakhstan қызметкерлеріне әлеуметтік инженерия шабуылы

 

 

Тыйым Салынған Мінез-құлықтар

• Әлеуметтік инженерия жүргізу және/немесе фишингпен айналысу

• Осалдықтың мәліметтерін жариялау

• Осалдыққа сынау тек PoC (ұғымды дәлелдеу) деңгейінде шектеледі, ал жойғыш сынақтар қатаң түрде тыйым салынады. Сынау барысында байқаусызда зиян келтірілсе, оны уақтылы хабарлау керек. Осы уақытта тест кезінде орындалған сезімтал операциялар, мысалы, жою, өзгерту және басқа операциялар, есепте түсіндірілуі керек

• Үлкен көлемді сканерлеу үшін сканерді пайдалану. Егер бизнес жүйесі немесе желі қол жетімсіз болса, ол тиісті заңдарға сәйкес шешіледі

• Осалдықты сынайтындар беттерді тiкелей өзгертпеуге тырысуы керек, хабарламалар терезесінің шығуын (XSS дәлелдеу үшін DNSLog ұсынылады) жалғастырмауға, кукилерді ұрлауға және/немесе пайдаланушы туралы ақпарат сияқты агрессивті жүктемені алуға тырыспауы керек (көрудегі xss сынағы үшін, dnslog пайдаланыңыз). Егер сіз байқаусызда агрессивті жүктемені қолдансаңыз, оны тез арада жоюыңыз керек. Олай болмаған жағдайда, біз байланысты заңдық жауапкершіліктерді іздеуге құқылымыз.