Bybit 有安全漏洞与威胁情报赏金计划吗？

是的，Bybit 有安全漏洞与威胁情报赏金计划。 如果您发现 Bybit 存在漏洞并希望获得赏金，请参考以下步骤：

第 1 步：以整洁有序的格式整合所有发现。若能提供该错误的 GIF 或视频记录将不胜感激。

第 2 步：通过此表格提交您的安全报告和调查结果，然后选择 API 交易/汇报系统安全漏洞 选项。

对于视频录制，请将其上传到 Google Drive 并将分享链接发送给我们。 有关如何执行此操作的更多信息，请参考此处。

 

当安全漏洞与威胁情报被批准时，奖励是多少？

请参阅以下列表来了解根据检测到的漏洞级别所提供的奖励。
 

 

如何定义不同级别的错误/漏洞？

请参阅以下列表获取更多信息：
 

严重漏洞

严重漏洞是指发生在核心业务系统（核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统）中的漏洞。此类漏洞可造成大面积影响，获取业务系统控制权限（视具体情况而定），获取核心系统管理人员权限，甚至是控制核心系统。

 

重大漏洞包括但不限于：

• 控制内网多台设备。
• 获取核心后台超级管理员权限，企业核心数据泄露，可造成严重影响。
• 智能合约溢出和条件竞争漏洞。

 

高危漏洞

• 获取系统权限（GetShell、命令执行 等）。
• 系统 SQL 注入（后台漏洞降级、打包提交酌情优先处理）。
• 敏感信息越权访问，包括但不限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的 SSRF 等。
• 读取任意文件。
• XXE 漏洞，可访问任何信息。
• 涉及资金的未授权交易或绕过支付逻辑（需最终利用成功）。
• 严重的逻辑设计缺陷和流程缺陷，包括但不限于任意用户登录漏洞、批量修改任意账户密码漏洞、涉及企业核心业务的逻辑漏洞等，验证码爆破除外。
• 大范围影响用户的其他漏洞，包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等。
• 大量源代码泄露。
• 智能合约许可控制缺陷。

 

中危漏洞

• 交互后才会影响用户的漏洞，包括但不限于存储型 XSS、涉及核心业务的 CSRF 等。
• 平行越权操作，包括但不限于绕过限制修改用户数据、执行用户操作等。
• 拒绝服务 (DoS) 漏洞，包括但不限于由 DoS 网络应用程序造成的远程 DoS 漏洞。
• 由验证码逻辑缺陷导致任意账户登录、任意密码找回等由于系统敏感操作可成功爆破而造成的漏洞。
• 本地保存的敏感认证密钥信息泄露，需能进行有效利用。

 

低危漏洞

• 本地 DoS 漏洞包括但不限于客户端本地 DoS（正在解析文件格式、网络协议生成的崩溃）、由 Android 组件许可暴露导致的问题、常规应用程序访问等。
• 常规信息泄露，包括但不限于网页路径遍历、系统路径遍历、目录浏览等。
• XSS（包括 DOM XSS/反射 XSS）。
• 常规 CSRF。
• URL 跳转漏洞。
• 短信炸弹、邮件炸弹（每个系统仅接受一类此种漏洞）。
• 其他危害较低、不能证明危害的漏洞（如无法获取到敏感信息的 CORS 漏洞）。
• 未返回值且没有深入利用成功的 SSRF。

 

暂不接受的漏洞类型（提交后将被忽略）

• 电子邮件欺骗。
• 用户枚举漏洞。
• Self-XSS 和 HTML 注入。
• 网页缺失 CSP 和 SRI 安全策略。
• 非敏感操作的 CSRF 问题。
• 单独的 Android App android:allowBackup=”true” 问题，本地拒绝服务问题等（深入利用的除外）。
• 修改图片尺寸造成的请求缓慢等问题。
• Nginx 等版本泄露问题。
• 一些功能问题，无法造成安全风险。
• 人身攻击 Bybit 员工/对 Bybit 员工进行社交工程。

 

禁止以下行为

• 开展社交工程和/或参与网络钓鱼。
• 泄露漏洞的具体信息。
• 漏洞测试仅限 PoC（概念证明），严禁破坏性测试。如测试过程中意外造成危害，应及时上报。此外，测试期间如进行删除、修改及其他敏感操作，均必须在报告中说明。
• 大规模扫描请使用扫描工具。如果业务系统或网络无法使用，将根据相关法律进行处理。
• 漏洞测试应尽量避免直接修改页面、继续弹出消息框（XSS 验证建议使用 DNSLog）、窃取 Cookie 以及/或者获取等入侵式负载，例如获取用户信息（XSS 盲测请使用 DNSLog）。如果您意外使用了入侵式负载，请立即将其删除。否则，我们有权追究相关法律责任。