Що таке програма Bybit Bug Bounty і як ви можете брати участь у програмі?

Програма Bybit Bug Bounty призначена для винагород осіб, які визначають вразливості на платформі Bybit. Якщо ви помітили потенційну вразливість або помилку, ви можете взяти участь у програмі, виконавши такі дії:

 

Крок 1. Об’єднайте всі результати в акуратному й організованому форматі. Ми будемо дуже вдячні за надання GIF-зображень або відеозаписів вразливостей. 

 

Крок 2. Надішліть свій звіт про безпеку та висновки за допомогою цієї форми та виберіть опцію «Торгівля API / повідомлення про вразливість безпеки».

 

Для відеозаписів завантажте їх у Google Диск і надішліть нам посилання зі спільним доступом. Для отримання додаткової інформації про те, як це зробити, перейдіть за посиланням.

 

 

 

Чи є програми LazarusBounty та Bybit Bug Bounty однаковими?

Ні, це не одна й та ж програма винагород. Програма LazarusBounty призначена для тих, хто допомагає виявляти та заморожувати нелегальні кошти, тоді як програма Bybit Bug Bounty призначена для тих, хто помічає та подає повідомлення про вразливості на Bybit. 

Докладнішу інформацію про програму LazarusBounty можна знайти в цій статті.

 

 

• Правила програми

• Деталі рівнів вразливості

• Заборонена поведінка

• Недоліки

• Політика розкриття інформації

 

 

Правила програми

1. Надайте детальні звіти з відтворюваними кроками. Якщо звіт недостатньо деталізований для відтворення проблеми, проблема не відповідає вимогам для отримання винагороди.

2. Подайте одну вразливість на звіт, якщо вам не потрібно відтворювати ланцюгові вразливості, щоб продемонструвати вплив.

3. Коли виникають дублікати, ми присуджуємо лише за перший отриманий звіт (за умови, що його можна повністю відтворити).

4. Множинні вразливості, спричинені однією базовою проблемою, отримують одну суму.

5. Соціальна інженерія (наприклад, фішинг, вішинг, смішинг) заборонена.

6. Докладіть добросовісних зусиль, щоб уникнути порушень конфіденційності, знищення даних, а також перебоїв або деградації наших послуг. Взаємодійте лише з акаунтами, якими ви володієте, або з явного дозволу власника акаунта.

7. Уникайте використання автоматизованих інструментів сканування, оскільки подання, виявлені за допомогою таких засобів, не приймаються.

8. Уникайте негативних або деструктивних дій, які можуть вплинути на доступність наших послуг (наприклад, DoS/DDoS)

9. План тестування

• Якщо ви зацікавлені в перевірці наших функцій, пов’язаних із активами, але не маєте необхідних активів для проведення тестування, ви можете зареєструвати акаунт і застосувати тестові токени на панелі управління активами за адресою https://testnet.bybit.com. (*Врахуйте, що Testnet використовує тестові монети, які не мають реальної вартості. Щоб наші користувачі отримали оптимальний досвід роботи з нашими продуктами, ми вирішили не встановлювати суворі обмеження 2FA. Отже, повідомлення про обхід 2FA на Testnet не приймаються).

• Активи, які відносяться до Web3, див. https://www.bybit.com/web3/home.

 

 

 

 

 

Деталі рівнів вразливості

Яка нагорода після схвалення вразливості?

Див. таблицю нижче, в якій наведено кількість помилок, доступних на основі рівня виявленої вразливості.

 

 

 

 

Як визначаються різні рівні помилок/вразливостей?

Додаткову інформацію можна знайти в списку нижче:

 

Критичні вразливості

Критична вразливість — це вразливість, яка виникає в основній бізнес-системі (основна система управління, польовий контроль, система бізнес-розподілу, фортресс-механіка або інше місце контролю, яке може керувати великою кількістю систем). Це може призвести до сильного впливу, отримати доступ до контролю бізнес-системи (залежно від фактичної ситуації) або доступ до базового керівництва системи, а також контролювати базову систему.

 

Критична вразливість включає, зокрема:

• Кілька пристроїв отримують доступ до внутрішньої мережі 

• Отримання доступу до суперадміністратора на базовому сервері, витік основних даних підприємства та серйозні наслідки

• Інтелектуальне переповнення контрактів і умовна вразливість до конкуренції

 

 

Вразливості з високим ризиком;

• Отримання доступу до системи (отримання, виконання команд тощо)

• Впровадження системного SQL (деградація вразливості на сервері, визначення пріоритетності відправлення пакета, якщо необхідно)

• Отримання несанкціонованого доступу до конфіденційної інформації, зокрема прямого доступу до базисної інформації керівництва шляхом обходу автентифікації, брут-силових паролів, що можуть атакуватися, або отримання SSRF конфіденційної інформації у внутрішній мережі тощо.

• Читання довільних документів

• Вразливість XXE, яка може отримати доступ до будь-якої інформації

• Несанкціонована операція, яка передбачає обхід коштів або логіку оплати (потрібно успішно використовувати)

• Серйозні логічні дефекти дизайну та дефекти процесу. Це включає, серед іншого, будь-яку вразливість для входу користувача, вразливість зміни пароля пакетного акаунта, логічну вразливість, пов’язану з основним бізнесом підприємства тощо, за винятком вибуху коду підтвердження

• Інші вразливості, які впливають на користувачів у великих масштабах. Вони включають, зокрема, дані про зберігання XSS, які можна автоматично поширювати на важливих сторінках, а також дані про зберігання XSS, які можуть отримати доступ до інформації про автентифікацію адміністратора та бути успішно використовуваними.

• Протікання вихідного коду

• Дефекти контролю дозволів у смарт-контракті

 

 

Вразливості середнього ризику;

• Вразливість, яка може вплинути на користувачів через взаємодію, зокрема зберігання XSS на загальних сторінках, CSRF, що включає основний бізнес тощо.

• Загальна несанкціонована операція, зокрема зміна даних користувача та виконання роботи користувача шляхом обходу обмежень

• Відхилення в обслуговуванні, зокрема віддалені вразливості в обслуговуванні, викликані відмовою в обслуговуванні веб застосунків

• Вразливості, спричинені успішним вибухом під час роботи, чутливої до системи, як-от доступ до будь-якого акаунта для входу та пароля тощо, через дефекти логіки коду перевірки

• Протікання інформації про автентифікацію, що зберігається на місцевому рівні, яка має бути доступною для ефективного використання

Вразливості з низьким ризиком;

• Місцеві вразливості відмови в обслуговуванні включають, серед іншого, місцеву відмову клієнта в обслуговуванні (формати файлів для аналізу, збої, створені протоколами мережі), проблеми, викликані впливом дозволу на компонент Android, загальний доступ до застосунку тощо.

• Витік загальної інформації не обмежується траверсальним веб-трейдингом, системним шляхом, переглядом каталогів тощо.

• XSS (включно з DOM XSS/відбиті XSS)

• Загальні CSRF

• Вразливість пропуску URL-адреси

• SMS-бомби, поштові бомби (кожна система приймає лише один тип цієї вразливості).

• Інші вразливості, які є менш шкідливими (і не можуть бути доведені, наприклад, вразливість CORS, яка не може отримати доступ до конфіденційної інформації) 

• Відсутність вартості повернення та поглиблене використання успішного SSRF

 

Заборонена поведінка

• Проведення соціальної інженерії та/або участь у фішингу

• Витік даних про вразливість

• Тестування на вразливість обмежується PoC (впевненість у концепції), а деструктивний тест суворо заборонено. Якщо під час тестування було ненавмисно заподіяно шкоду, про неї слід повідомити вчасно. Тим часом конфіденційні операції, що виконуються під час тесту, такі як видалення, зміна та інші операції, повинні бути пояснені у звіті.

• Використання сканера для широкомасштабного сканування. Якщо бізнес-система або мережа стають недоступними, їх буде опрацьовано відповідно до відповідних законів.

• Ті, хто перевіряє вразливість, повинні спробувати уникнути безпосередньої зміни сторінки, продовжуючи відкривати вікно повідомлення (DNSLog рекомендується для перевірки хс), крадіжку файлів cookie та/або отримання агресивного корисного навантаження, як-от інформація користувача (для тестування сліпого хс, будь ласка, використовуйте dnslog). Якщо ви випадково використовуєте більш агресивне навантаження, негайно видаліть його. Інакше ми маємо право виконувати відповідні юридичні зобов’язання.

 

 

 

 

 

Недоліки

Повідомляючи про вразливості, враховуйте (1) сценарій атаки/експлуативність і (2) вплив помилки на безпеку. Наступні проблеми вважаються поза сферою застосування:

• Будь-яка діяльність, яка може призвести до збоїв у роботі нашого сервісу (DoS, DDoS).

• Соціальна інженерія наших співробітників або підрядників, якщо це прямо не дозволено.

• Атаки на наші фізичні об’єкти, якщо на це немає чіткого дозволу.

• Атаки, що вимагають фізичного доступу до пристрою користувача, якщо цей пристрій не перебуває в межах охоплення та явно не захищений від фізичного доступу.

• Атаки, що вимагають вимкнення захисту людини в центрі (MITM).

• Атаки впливають лише на застарілі браузери або операційні системи.

• Відсутні передові методи (конфігурація SSL/TLS, політика безпеки контенту, мітки файлів cookie, таблаббінг, параметр автозавершень, записи електронної пошти SPF/DKIM/DMARC), якщо не можна продемонструвати значний вплив.

• Клікджекінг або крос-центрова підробка запиту (CSRF) на неавтентифікованих сторінках/формах без конфіденційних дій.

• Відкрийте перенаправлення, якщо не можна продемонструвати значний вплив.

• Самоексплуатація (самоексплуатація XSS, самовідмова в обслуговуванні тощо), якщо не можна продемонструвати спосіб атаки на іншого користувача.

• Спуфінг вмісту, ін’єкція тексту та ін’єкція у форматі CSV, якщо не можна продемонструвати значний вплив.

• Розкриття версії програмного забезпечення / проблеми з ідентифікацією банера / повідомлення про описову помилку або трасування стека.

• Проблеми, які вимагають малоймовірної взаємодії потерпілого з користувачем.

• Будь-яка атака, яка вимагає від користувача взаємодії з контрактом на вебсайті, підконтрольному нападнику.

• Виключаються певні вразливості ланцюга (наприклад, проблеми з часом роботи EVM або Solana)

• Вразливості вбудованого Dapp не допускаються (наприклад, Uniswap, Curve, GMX, 1inch)

 

 

 

 

 

Політика розкриття інформації

Не обговорюйте цю програму або будь-які вразливості (навіть усунення) за межами програми без чіткої згоди організації.