Темы
    Программа Bybit Kazakhstan Bug Bounty
    bybit2025-10-01 05:59:22

    Есть ли на Bybit Kazakhstan программа вознаграждений за ошибки?

    Да, на Bybit Kazakhstan есть программа вознаграждений за ошибки. Если вы заметили уязвимость на Bybit Kazakhstan и хотите получить награду за ошибку, выполните следующие действия:

    Шаг 1. Консолидируйте все полученные результаты в аккуратном и организованном формате. Мы будем благодарны за предоставление GIF или видеозаписей об ошибке. 

     

    Шаг 2. Отправьте свой отчёт о безопасности и результаты через эту форму и выберите вариант Торговля API / Сообщение об уязвимости безопасности.

     

    Для видеозаписей, пожалуйста, загрузите их на Google Диск и отправьте нам ссылку для общего доступа. Для получения дополнительной информации перейдите по этой ссылке.

     

     

     

    Какая награда за ошибку предоставляется при одобрении уязвимости?

    Вознаграждение за ошибки доступно в таблице ниже в зависимости от уровня обнаруженной уязвимости.

     

    Уровень

    Награды

    Низкий

    от 50 до 200 USDT

    Средний

    от 500 до 1000 USDT

    Высокий

    от 1000 до 2000 USDT

    Критические

    от 2500 до 4000 USDT

     

     

     

    Как определяются различные уровни ошибок/уязвимостей?

    Для получения дополнительной информации ознакомьтесь со списком ниже:

     

    Критические уязвимости

    Критическая уязвимость — это уязвимость, которая возникает в основной бизнес-системе (базовой системе контроля, системе управления на местах, системе распределения бизнеса, форс-машине или другом центре контроля, который может управлять большим количеством систем). Это может привести к серьезным последствиям: получению доступа к системе управления бизнесом (в зависимости от фактической ситуации) или персоналу управления основной системой, а также даже к контролю основной системы.

     

    Критические уязвимости включают, помимо прочего:

    • Несколько устройств получают доступ к внутренней сети

    • Получение доступа к базовому серверу суперадминистратора, утечка основных корпоративных данных и серьезное влияние

    • Переполнение смарт-контрактов и условная уязвимость

     

     

     

    Уязвимости с высоким риском

    • Получите доступ к системе (getshell, исполнение команд и т. д.)

    • Инъекция в системный SQL (деградация уязвимости на стороне сервера, приоритизация отправки пакета по мере необходимости)

    • Получение несанкционированного доступа к конфиденциальной информации, включая, помимо прочего, прямой доступ к информации об управлении за счёт обхода аутентификации, грубых атак с помощью внутренних паролей или получения SSRF из конфиденциальной информации во внутренней сети и т. д.

    • Произвольное чтение документов

    • Уязвимость XXE, которая может получить доступ к любой информации

    • Несанкционированная операция, которая предполагает обход денег или логики оплаты (должно быть успешно использовано)

    • Серьёзные логические дефекты конструкции и технологического процесса. К ним относятся, помимо прочего, любые уязвимости для входа пользователя, уязвимости изменения пароля для партнёрского аккаунта, логическая уязвимость, связанная с базовым бизнесом предприятия и т. д., за исключением взрыва кода верификации

    • Другие уязвимости, которые влияют на пользователей в крупном масштабе. К ним относятся, помимо прочего, XSS, который может автоматически распространяться на важные страницы, и XSS, который может получить доступ к информации для аутентификации администратора и успешно использоваться

    • Утечка исходного кода

    • Дефекты контроля разрешений в смарт-контракте

     

     

     

    Уязвимости со средним риском

    • Уязвимость, которая может повлиять на пользователей в результате взаимодействия, включая, помимо прочего, хранение XSS на общих страницах, CSRF с участием основного бизнеса и т. д.

    • Общая несанкционированная работа, помимо прочего, изменение данных пользователей и выполнение действий пользователей за счёт обхода ограничений

    • Уязвимости типа «отказ в обслуживании», включая, помимо прочего, удаленные уязвимости типа «отказ в обслуживании», вызванные отказом в обслуживании веб-приложений

    • Уязвимости, вызванные успешным взрывом в работе системы, например, любой вход в аккаунт, доступ к паролю и т. д., из-за дефектов логики кода верификации

    • Утечка локально хранимой конфиденциальной информации о ключе аутентификации, которая должна быть доступна для эффективного использования

     

     

    Уязвимости с низким уровнем риска

    • Локальные уязвимости типа «отказ в обслуживании» включают, помимо прочего, локальные отказы в обслуживании клиентов (разбор форматов файлов, сбои, вызванные сетевыми протоколами), проблемы, вызванные доступом к компонентам Android, общим доступом к приложениям и т. д.

    • Общая утечка информации, не ограничиваясь пересечением веб-пути, пересечением системного пути, просмотром каталога и т. д.

    • XSS (включая DOM XSS/Reflected XSS)

    • Общий CSRF

    • Уязвимость пропуска URL-адреса

    • SMS-бомбы, почтовые бомбы (каждая система принимает только один тип этой уязвимости).

    • Другие уязвимости, которые менее вредны (и не могут быть доказаны, например, уязвимость CORS, которая не может получить доступ к конфиденциальной информации) 

    • Отсутствие прибыли и углубленного использования SSRF

     

     

     

    Уязвимости, которые в настоящее время не принимаются (даже если такая уязвимость отправлена, она будет проигнорирована)

    • Спуфинг по электронной почте

    • Уязвимость списка пользователей

    • Самостоятельное внедрение в XSS и HTML

    • На веб-страницах отсутствуют политики безопасности CSP и SRI

    • Проблемы с CSRF для неконфиденциальных операций

    • Отдельная проблема, связанная с приложением Android Android:allowBackup=«true», в которой сервис отклонён локально и т. д. (за исключением подробного использования)

    • Такие проблемы, как изменение размера изображения, создание медленных запросов и т. д.

    • Проблемы с утечкой версии, такие как NGINX и т. д.

    • Некоторые функциональные ошибки, которые не представляют риска для безопасности

    • Физическая атака на Bybit Kazakhstan / атака на сотрудников Bybit Kazakhstan с помощью социальной инженерии

     

     

     

    Запрещенное поведение

    • Социальная инженерия и/или участие в фишинге

    • Утечка информации об уязвимости

    • Тестирование на уязвимости ограничено PoC (проверкой концепции), а деструктивное тестирование строго запрещено. Если во время тестирования был причинен непреднамеренный вред, об этом необходимо сообщить вовремя. Тем временем в отчете должны быть объяснены конфиденциальные операции, выполняемые во время тестирования, такие как удаление, изменение и другие операции

    • Использование сканера для крупномасштабного сканирования. Если бизнес-система или сеть станут недоступными, то с ними будут обращаться в соответствии с применимыми законами

    • Те, кто проверяет уязвимость, должны избегать прямого изменения страницы, продолжения всплывающего окна сообщения (для проверки xss рекомендуется использовать DNSLog), кражи файлов cookie и/или получения агрессивной полезной нагрузки, такой как информация о пользователе (для тестирования xss вслепую используйте dnslog). Если вы случайно используете более агрессивную полезную нагрузку, немедленно удалите её. В противном случае мы имеем право на исполнение соответствующих юридических обязательств.

    Решён ли Ваш запрос?
    yesДаyesНет
    Похожие статьи
    Поиск и устранение неисправностей: Отправка видеозаписи экрана в Bybit Kazakhstan
    Оптимизации для улучшения процесса торговли на Bybit Kazakhstan
    Как сообщать о багах на устройствах Android