Bybit 有安全漏洞與威脅情報賞金計劃嗎？

是的，Bybit 有安全漏洞與威脅情報賞金計劃。如果您發現 Bybit 存在漏洞並希望獲得賞金，請參考以下步驟：

第 1 步：以整潔有序的格式整合所有發現。若能提供該錯誤的 GIF 或視頻記錄將不勝感激。

第 2 步：通過此表格提交您的安全報告和調查結果，然後選擇 API 交易/匯報系統安全漏洞 選項。

對於視頻錄製，請將其上傳到 Google Drive 並將分享鏈接發送給我們。有關如何執行此操作的更多信息，請參考此處。

 

當安全漏洞與威脅情報被批准時，獎勵是多少？

請參閱以下列表來了解根據檢測到的漏洞級別所提供的獎勵。
 

 

如何定義不同級別的錯誤/漏洞？

請參閱以下列表獲取更多信息：
 

嚴重漏洞

嚴重漏洞是指發生在核心業務系統（核心控制系統、域控、業務分發系統、堡壘機等可管理大量系統的管控系統）中的漏洞。此類漏洞可造成大面積影響，獲取業務系統控制權限（視具體情況而定），獲取核心繫統管理人員權限，甚至是控制核心繫統。

 

重大漏洞包括但不限於：

• 控制內網多台設備。
• 獲取核心後台超級管理員權限，企業核心數據泄露，可造成嚴重影響。
• 智能合約溢出和條件競爭漏洞。

 

高危漏洞

• 獲取系統權限（GetShell、命令執行 等）。
• 系統 SQL 注入（後台漏洞降級、打包提交酌情優先處理）。
• 敏感信息越權訪問，包括但不限於繞過認證直接訪問管理後台、重要後台弱密碼、獲取大量內網敏感信息的 SSRF 等。
• 讀取任意文件。
• XXE 漏洞，可訪問任何信息。
• 涉及資金的未授權交易或繞過支付邏輯（需最終利用成功）。
• 嚴重的邏輯設計缺陷和流程缺陷，包括但不限於任意用戶登錄漏洞、批量修改任意賬戶密碼漏洞、涉及企業核心業務的邏輯漏洞等，驗證碼爆破除外。
• 大範圍影響用戶的其他漏洞，包括但不僅限於重要頁面可自動傳播的存儲型 XSS、可獲取管理員認證信息且成功利用的存儲型 XSS 等。
• 大量源代碼泄露。
• 智能合約許可控制缺陷。

 

中危漏洞

• 交互后才會影響用戶的漏洞，包括但不限於存儲型 XSS、涉及核心業務的 CSRF 等。
• 平行越權操作，包括但不限於繞過限制修改用戶數據、執行用戶操作等。
• 拒絕服務 (DoS) 漏洞，包括但不限於由 DoS 網絡應用程序造成的遠程 DoS 漏洞。
• 由驗證碼邏輯缺陷導致任意賬戶登錄、任意密碼找回等由於系統敏感操作可成功爆破而造成的漏洞。
• 本地保存的敏感認證密鑰信息泄露，需能進行有效利用。

 

低危漏洞

• 本地 DoS 漏洞包括但不限於客戶端本地 DoS（正在解析文件格式、網絡協議生成的崩潰）、由 Android 組件許可暴露導致的問題、常規應用程序訪問等。
• 常規信息泄露，包括但不限於網頁路徑遍歷、系統路徑遍歷、目錄瀏覽等。
• XSS（包括 DOM XSS/反射 XSS）。
• 常規 CSRF。
• URL 跳轉漏洞。
• 短信炸彈、郵件炸彈（每個系統僅接受一類此種漏洞）。
• 其他危害較低、不能證明危害的漏洞（如無法獲取到敏感信息的 CORS 漏洞）。
• 未返回值且沒有深入利用成功的 SSRF。

 

暫不接受的漏洞類型（提交后將被忽略）

• 电子郵件欺騙。
• 用戶枚舉漏洞。
• Self-XSS 和 HTML 注入。
• 網頁缺失 CSP 和 SRI 安全策略。
• 非敏感操作的 CSRF 問題。
• 單獨的 Android App android:allowBackup=「true」問題，本地拒絕服務問題等（深入利用的除外）。
• 修改圖片尺寸造成的請求緩慢等問題。
• Nginx 等版本泄露問題。
• 一些功能問題，無法造成安全風險。
• 人身攻擊 Bybit 員工/對 Bybit 員工進行社交工程。

 

禁止以下行為

• 開展社交工程和/或參与網絡釣魚。
• 泄露漏洞的具體信息。
• 漏洞測試僅限 PoC（概念證明），嚴禁破壞性測試。如測試過程中意外造成危害，應及時上報。此外，測試期間如進行刪除、修改及其他敏感操作，均必須在報告中說明。
• 大規模掃描請使用掃描工具。如果業務系統或網絡無法使用，將根據相關法律進行處理。
• 漏洞測試應盡量避免直接修改頁面、繼續彈出消息框（XSS 驗證建議使用 DNSLog）、竊取 Cookie 以及/或者獲取等入侵式負載，例如獲取用戶信息（XSS 盲測請使用 DNSLog）。如果您意外使用了入侵式負載，請立即將其刪除。否則，我們有權追究相關法律責任。