Topik
    Program Hadiah Bug Bybit
    bybit2024-12-07 19:25:54

    Apakah Bybit memiliki program Bug Bounty? 

    Ya, Bybit memiliki program bounty bug. Jika anda melihat kerentanan pada Bybit dan ingin mendapatkan bug bounty, silakan lihat langkah-langkah di bawah ini:

    Langkah 1: Konsolidasikan semua temuan anda dalam format yang rapi dan terorganisir. Memberikan GIF atau rekaman video bug akan sangat dihargai. 

    Langkah 2: Kirimkan laporan dan temuan keamanan Anda melalui lampiran ini dan pilih Perdagangan API / Laporkan Kerentanan Keamanan.

    Untuk rekaman video, harap unggah ke Google Drive dan kirimkan tautan (Link) yang dapat dibagikan kepada kami. Untuk informasi lebih lanjut tentang cara melakukannya, silakan kunjungi artikel ini.

     

     

    Apa hadian pada Bug Bounty yang diberikan ketika kerentanan disetujui?

    Silakan lihat tabel di bawah ini untuk bug bounty yang tersedia berdasarkan tingkat kerentanan yang terdeteksi.

    Tingkat

    Hadiah

    Rendah

    50 to 200 USDT

    Sedang

    500 to 1000 USDT

    Tinggi

    1000 to 2000 USDT

    Kritis

    2500 to 4000 USDT

     

     

    Bagaimana berbagai tingkat bug/kerentanan didefinisikan? 

    Silakan lihat daftar di bawah ini untuk informasi lebih lanjut:
     

    Kerentanan Kritis

    Kerentanan kritis mengacu pada salah satu peristiwa yang terjadi dalam sistem bisnis inti (sistem kontrol inti, kontrol lapangan, sistem distribusi bisnis, mesin benteng, atau aspek kontrol lain yang dapat mengelola sistem dalam jumlah besar). Faktanya, kerentanan ini dapat menyebabkan dampak yang parah, di mana suatu entitas bisa mendapatkan akses kontrol sistem bisnis (tergantung pada situasi aktual) atau akses staf manajemen sistem inti, dan bahkan mengontrol sistem inti.

     

    Kerentanan kritis mencakup, tetapi tidak terbatas pada:

    • Beberapa perangkat mengakses jaringan internal
    • Mendapatkan akses administrator super back-end inti, membocorkan data inti perusahaan, dan menyebabkan dampak yang parah
    • Luapan kontrak pintar dan kerentanan persaingan bersyarat

     

    Kerentanan Berisiko Tinggi

    • Mendapatkan akses sistem (getshell, eksekusi perintah, dll.)
    • Injeksi SQL sistem (degradasi kerentanan back-end, prioritas pengiriman paket yang sesuai)
    • Mendapatkan akses tidak sah ke informasi sensitif, termasuk tetapi tidak terbatas pada akses langsung ke latar belakang manajemen dengan melewati/mencurangi autentikasi, kata sandi back-end yang dapat diserang secara brutal, atau untuk mendapatkan SSRF informasi sensitif di jaringan internal, dll.
    • Pembacaan dokumen dengan sewenang-wenang
    • Kerentanan XXE yang dapat mengakses informasi apa pun
    • Operasi tidak sah yang melibatkan aktivitas melewati/mencurangi logika pembayaran dan uang (harus berhasil dimanfaatkan)
    • Cacat desain logis dan cacat proses yang serius. Poin ini termasuk tetapi tidak terbatas pada kerentanan log masuk pengguna, kerentanan modifikasi kata sandi akun batch, kerentanan logika yang melibatkan bisnis inti perusahaan, dll., kecuali ledakan kode verifikasi
    • Kerentanan lain yang memengaruhi pengguna dalam skala besar, termasuk tetapi tidak terbatas pada XSS penyimpanan yang dapat disebarkan secara otomatis pada laman penting, serta XSS penyimpanan yang dapat mengakses informasi autentikasi administrator dan berhasil 
    • Kebocoran kode sumber
    • Cacat kontrol izin dalam kontrak pintar

     

    Kerentanan Berisiko Sedang

    • Kerentanan yang dapat memengaruhi pengguna melalui interaksi, termasuk tetapi tidak terbatas pada XSS penyimpanan di laman umum, CSRF yang melibatkan bisnis inti, dll.
    • Operasi umum yang tidak sah, termasuk tetapi tidak terbatas pada memodifikasi data pengguna dan melakukan operasi pengguna dengan melewati/mencurangi pembatasan
    • Kerentanan penolakan layanan (denial-of-service), termasuk tetapi tidak terbatas pada kerentanan penolakan layanan jarak jauh yang disebabkan oleh penolakan layanan aplikasi web
    • Kerentanan yang disebabkan oleh keberhasilan ledakan operasi yang sensitif terhadap sistem, seperti log masuk ke akun akses kata sandi, dan lainnya, akibat adanya kecacatan pada logika kode verifikasi
    • Kebocoran informasi kunci autentikasi sensitif yang disimpan secara lokal, yang harus tersedia demi efektivitas penggunaan

     

    Kerentanan Berisiko Rendah

    • Kerentanan penolakan layanan lokal, termasuk tetapi tidak terbatas pada penolakan layanan lokal klien (penguraian format file, kerusakan yang dihasilkan oleh protokol jaringan), masalah yang disebabkan oleh paparan izin komponen Android, akses aplikasi umum, dll.
    • Kebocoran informasi umum, tidak terbatas pada penelusuran jalur Web, penelusuran jalur sistem, penelusuran direktori, dll.
    • XSS (termasuk DOM XSS/XSS Tecermin)
    • CSRF Umum
    • Kerentanan lompatan URL
    • Bom SMS, bom pesan, (setiap sistem hanya menerima satu jenis kerentanan ini).
    • Kerentanan lain yang kurang berbahaya (dan tidak dapat dibuktikan demikian, seperti kerentanan CORS yang tidak dapat mengakses informasi sensitif)
    • Tidak ada nilai kembali dan pemanfaatan yang mendalam dari SSRF yang berhasil

     

    Kerentanan yang saat ini tidak diterima (kerentanan ini akan diabaikan jika tetap dikirimkan)

    • Spoofing surel
    • Kerentanan enumerasi pengguna
    • Injeksi HTML & XSS secara mandiri
    • Laman web tidak memiliki kebijakan keamanan CSP dan SRI
    • Masalah CSRF untuk operasi yang tidak sensitif
    • Masalah terpisah terkait aplikasi Android android:allowBackup=”true”, di mana layanan ditolak secara lokal, dll. (kecuali untuk penggunaan yang mendalam)
    • Masalah seperti mengubah ukuran gambar, menyebabkan permintaan menjadi lambat, dll.
    • Masalah kebocoran versi, seperti NGINX, dll.
    • Beberapa bug fungsional yang tidak menimbulkan masalah risiko keamanan
    • Serangan fisik pada Bybit/serangan rekayasa sosial pada karyawan Bybit

     

    Perilaku yang Dilarang

    • Melakukan rekayasa sosial dan/atau terlibat dalam aktivitas phishing/pengelabuan
    • Membocorkan detail kerentanan
    • Pengujian kerentanan terbatas pada PoC (proof of concept), dan pengujian yang merusak sangat dilarang. Segala bentuk kerusakan yang timbul secara tidak sengaja selama pengujian harus dilaporkan tepat waktu. Sementara itu, operasi sensitif yang dilakukan selama pengujian, seperti penghapusan, modifikasi, dan operasi lainnya, harus diuraikan dalam laporan
    • Menggunakan pemindai untuk melakukan pemindaian skala besar. Jika sistem atau jaringan bisnis menjadi tidak tersedia, maka peristiwa tersebut akan ditangani sesuai dengan undang-undang yang relevan
    • Para penguji kerentanan harus berupaya untuk menghindari aktivitas modifikasi laman secara langsung, terus memunculkan kotak pesan (DNSLog disarankan untuk verifikasi xss), mencuri cookie, dan/atau mendapatkan payload agresif seperti informasi pengguna (untuk pengujian xss secara buta, harap menggunakan dnslog). Jika Anda tidak sengaja menggunakan payload yang lebih agresif, harap segera menghapusnya. Jika tidak, kami memiliki hak untuk mengejar kewajiban hukum yang berkaitan dengan hal tersebut.
    Apakah ini membantumu?
    yesYayesTidak
    Artikel Terkait
    Cara Melaporkan Bug di Perangkat Android
    Bagaimana Mengoptimalkan Pengalaman Trading Anda di Bybit
    Pemecahan Masalah: Kirim Video Rekaman Layar Anda kepada Bybit