Что такое программа Bybit Bug Bounty и как вы можете участвовать в ней?

Программа Bybit Bug Bounty предназначена для награждения лиц, которые выявляют уязвимости на платформе Bybit. Если вы заметили какую-либо потенциальную уязвимость или ошибку, вы можете принять участие в программе, выполнив следующие действия:

 

Шаг 1. Консолидируйте все полученные результаты в чётком и организованном формате. Мы будем благодарны за предоставление GIF-файлов или видеозаписей об ошибке. 

 

Шаг 2. Отправьте свой отчет о безопасности и результаты через эту форму и выберите вариант «Торговля API / Сообщить об уязвимости безопасности».

 

Для видеозаписи загрузите ее на Google Диск и отправьте нам ссылку для общего доступа. Для получения дополнительной информации перейдите по этой ссылке.

 

 

 

Одинаковы ли программы LazarusBounty и Bybit Bug Bounty?

Нет, это не одна и та же программа вознаграждений. Программа LazarusBounty предназначена для тех, кто помогает идентифицировать и заморозить незаконные средства, в то время как программа Bybit Bug Bounty предназначена для тех, кто замечает и отправляет сообщения об уязвимостях на Bybit. 

Более подробную информацию о программе LazarusBounty можно найти в этой статье.

 

 

• Правила программы

• Подробная информация об уровнях уязвимости

• Запрещенное поведение

• Уязвимости, не входящие в сферу действия

• Политика раскрытия информации

 

 

Правила программы

1. Предоставьте подробные отчеты с воспроизводимыми шагами. Если отчет не будет достаточно подробным для воспроизведения проблемы, она не будет иметь права на получение награды.

2. Отправляйте по одному отчету об уязвимости, если только вам не нужно объединить уязвимости в цепочку для демонстрации влияния.

3. В случае обнаружения дубликатов мы выдаем награду только за первый полученный отчет (при условии, что его можно полностью воспроизвести).

4. За множественные уязвимости, вызванные одной базовой проблемой, будет присуждено одно вознаграждение.

5. Социальная инженерия (например, фишинг, вишинг, смишинг) запрещена.

6. Принимайте добросовестные меры, чтобы избежать нарушений конфиденциальности, уничтожения данных, а также прерывания или ухудшения качества наших услуг. Взаимодействуйте только с аккаунтами, которыми вы владеете, или с явного разрешения владельца аккаунта.

7. Избегайте использования автоматизированных инструментов сканирования, поскольку заявки, полученные с помощью таких средств, не принимаются.

8. Избегайте негативного влияния или деструктивных действий, которые могут повлиять на доступность наших сервисов (например, DoS/DDoS)

9. План тестирования

• Если вы заинтересованы в тестировании наших функций, связанных с активами, но у вас нет необходимых активов для проведения тестирования, вы можете зарегистрировать аккаунты и применить тестовые токены на панели управления активами на сайте https://testnet.bybit.com. (*Обратите внимание, что в тестнете используются тестовые монеты, которые не имеют реальной стоимости. Чтобы наши пользователи могли пользоваться нашими продуктами оптимально, мы решили не устанавливать строгие ограничения на 2FA. Следовательно, сообщения об обходе 2FA в Testnet не принимаются).

• Активы, относящиеся к Web3, можно найти на сайте https://www.bybit.com/web3/home.

 

 

 

 

 

Подробная информация об уровнях уязвимости

Какая награда за ошибку предоставляется при одобрении уязвимости?

В таблице ниже указаны доступные награды за ошибки в зависимости от уровня обнаруженной уязвимости.

 

 

 

 

Как определяются различные уровни ошибок/уязвимостей?

Для получения дополнительной информации ознакомьтесь со списком ниже:

 

Критические уязвимости

Критическая уязвимость — это уязвимость, которая возникает в основной бизнес-системе (базовой системе контроля, системе управления на местах, системе распределения бизнеса, фортресс-машине или другом месте контроля, которое может управлять большим количеством систем). Это может привести к серьезным последствиям, получению доступа к системе управления бизнесом (в зависимости от фактической ситуации) или доступа к персоналу управления основной системой, а также даже к управлению основной системой.

 

Критические уязвимости включают, помимо прочего:

• Несколько устройств получают доступ к внутренней сети

• Получение доступа к базовым серверным приложениям для суперадминистраторов, утечка основных корпоративных данных и серьезное влияние

• Переполнение смарт-контрактов и условная уязвимость в конкуренции

 

 

Уязвимости с высоким риском

• Получите доступ к системе (getshell, исполнение команд и т. д.)

• Инъекция системного SQL (деградация уязвимости в серверной части, приоритизация отправки пакета по мере необходимости)

• Получение несанкционированного доступа к конфиденциальной информации, включая, помимо прочего, прямой доступ к информации об управлении за счёт обхода аутентификации, получение внутренних паролей, поддающихся атаке методом подбора или получения SSRF на конфиденциальную информацию во внутренней сети и т. д.

• Произвольное чтение документов

• Уязвимость XXE, которая может получить доступ к любой информации

• Несанкционированная операция, которая предполагает обход денег или логики оплаты (необходимо успешно использовать)

• Серьезные логические дефекты конструкции и технологические дефекты. К ним относятся, помимо прочего, любые уязвимости для входа пользователей, уязвимости изменения пароля для партнёрского аккаунта, логическая уязвимость, связанная с базовым бизнесом предприятия и т. д., за исключением взрыва кода верификации

• Другие уязвимости, которые влияют на пользователей в крупном масштабе. К ним относятся, помимо прочего, хранилище XSS, которое может автоматически распространяться на важные страницы, и хранилище XSS, которое может получить доступ к информации для аутентификации администратора и успешно использоваться

• Утечка исходного кода

• Дефекты контроля разрешений в смарт-контракте

 

 

Уязвимости со средним риском

• Уязвимость, которая может повлиять на пользователей в результате взаимодействия, включая, помимо прочего, хранение XSS на общих страницах, CSRF с участием основного бизнеса и т. д.

• Общая несанкционированная работа, не ограничиваясь изменением данных пользователя и выполнением действий пользователя за счёт обхода ограничений

• Уязвимости типа «отказ в обслуживании», включая, помимо прочего, удаленные уязвимости типа «отказ в обслуживании», вызванные отказом в обслуживании веб-приложений

• Уязвимости, вызванные успешным взрывом в работе системы, например, любой вход в аккаунт, доступ к паролю и т. д., из-за дефектов логики кода верификации

• Утечка локально хранящегося секретного ключа аутентификации, который должен быть доступен для эффективного использования

Уязвимости с низким риском

• Локальные уязвимости типа «отказ в обслуживании» включают, помимо прочего, локальный отказ в обслуживании клиента (синтаксический анализ форматов файлов, сбоев, вызванных сетевыми протоколами), проблемы, вызванные доступом к компонентам Android, общим доступом к приложениям и т. д.

• Общая утечка информации не ограничивается пересечением веб-пути, пересечением системного пути, просмотром каталога и т. д.

• XSS (включая DOM XSS/Reflected XSS)

• Общий CSRF

• Уязвимость пропуска URL

• SMS-бомбы, почтовые бомбы (каждая система принимает только один тип этой уязвимости).

• Другие уязвимости, которые менее вредны (и не могут быть доказаны, например, уязвимость CORS, которая не может получить доступ к конфиденциальной информации) 

• Отсутствие прибыли и углубленного использования успешных SSRF

 

Запрещенное поведение

• Социальная инженерия и/или участие в фишинге

• Утечка информации об уязвимости

• Тестирование на уязвимости ограничено PoC (проверкой концепции), а деструктивное тестирование строго запрещено. Если во время тестирования был причинен непреднамеренный вред, об этом необходимо сообщить вовремя. Тем временем в отчете должны быть объяснены конфиденциальные операции, выполняемые во время тестирования, такие как удаление, изменение и другие операции

• Использование сканера для крупномасштабного сканирования. Если бизнес-система или сеть становятся недоступными, с ними будут обращаться в соответствии с применимыми законами

• Те, кто проверяет уязвимость, должны избегать прямого изменения страницы, продолжая выводить всплывающее окно с сообщением (рекомендуется использовать DNSLog для проверки xss), кражи файлов cookie и/или получения агрессивной полезной нагрузки, такой как информация о пользователе (для слепого тестирования xss используйте dnslog). Если вы случайно используете более агрессивную полезную нагрузку, немедленно удалите её. В противном случае мы имеем право на исполнение соответствующих юридических обязательств.

 

 

 

 

 

Уязвимости, не входящие в сферу применения

Сообщая об уязвимостях, учитывайте (1) сценарий атаки/уязвимость и (2) влияние ошибки на безопасность. Следующие вопросы считаются выходящими за рамки:

• Любая активность, которая может привести к перебоям в работе нашего сервиса (DoS, DDoS).

• Социальная инженерия наших сотрудников или подрядчиков, если не получено явное разрешение.

• Атаки на наши физические объекты, если не получено явное разрешение.

• Атаки, требующие физического доступа к устройству пользователя, за исключением случаев, когда устройство находится в зоне действия и явно защищено от физического доступа.

• Атаки, требующие отключения защиты Man In The Middle (MITM).

• Атаки, которые затрагивают только устаревшие браузеры или операционные системы.

• Отсутствуют передовые методы (конфигурация SSL/TLS, политика безопасности контента, флаги файлов cookie, tabnabbing, атрибут автоматического завершения, записи SPF/DKIM/DMARC по электронной почте), если только не будет продемонстрировано значительное влияние.

• Кликджекинг или подделка межсайтовых запросов (CSRF) на неаутентифицированных страницах/формах без каких-либо конфиденциальных действий.

• Открытые перенаправления, если не будет продемонстрировано значительное влияние.

• Самоиспользование (самостоятельный XSS, отказ в обслуживании и т. д.), если не будет продемонстрирован способ атаки на другого пользователя.

• Спуфинг контента, ввод текста и инжекция CSV, если не будет продемонстрировано значительного влияния.

• Раскрытие версии программного обеспечения / проблемы с идентификацией баннера / описательные сообщения об ошибках или трассировка стека.

• Проблемы, которые требуют маловероятного взаимодействия со стороны жертвы.

• Любая атака, которая требует от пользователя взаимодействия с контрактом с веб-сайта, контролируемого злоумышленником

• Уязвимости сети исключены (например, проблемы с EVM или Solana)

• Уязвимости интегрированных Dapp исключены (например, Uniswap,Curve,GMX,1inch).

 

 

 

 

 

Политика раскрытия информации

Не обсуждайте эту программу или любые уязвимости (даже устраненные) вне программы без явного согласия организации.