Typy a úrovně zpětné vazby

Publikováno dne 4. 8. 2025Aktualizováno dne 26. 9. 2025Doba čtení: 14 min

Poté, co uživatelé odešlou zpětnou vazbu, měli by počkat na výsledky přezkoumání. Jakmile uživatelé výsledky přezkoumání schválí, získají odměnu za příslušnou úroveň. Poznámka: tento program odměn je k dispozici pouze pro uživatele na whitelistu.

Šablona pro odesílání chyb zabezpečení

  1. Adresa URL nebo balíček žádostí v souvislosti s chybou zabezpečení (text, bez snímků obrazovky) nebo kroky k provedení operace (například Nastavení -> Osobní údaje -> problém s nahráním obrázku).

  2. Datová část s chybou zabezpečení.

  3. Důkaz rizika ohrožení chybou zabezpečení (hodnocení se řídí úrovní rizika).

Nedostatky a návrhy

závažné chyby (100 USDT)

  1. Nelze dokončit důležité funkce (např. nedokončují se transakce, nelze zadávat objednávky).

  2. Chyba se šíří a ovlivňuje běžný provoz dalších důležitých funkcí.

  3. Pády a zamrzání aplikace a nekonečné smyčky způsobené nestandardními operacemi (např. operacemi, které uživatelé při používání softwaru neprovedou).

  4. Nedostatky, které se projevují nepřijatelným vzhledem (např. zkreslení, komprese nebo deformace obrazu).

  5. Problémy se zabezpečením, které způsobují únik dat (např. únik soukromých informací o účtu způsobený škodlivými útoky).

Obecné chyby (30 USDT)

Nedostatky, které neovlivňují fungování produktu ani nezpůsobují selhání, ale mají poměrně velký vliv na vzhled produktu nebo na další procesy.

  1. Nelze normálně provádět sekundární funkce.

  2. Chyby rozhraní (například nekonzistentní významy názvů sloupců a popisů v datovém okně).

  3. Chyba dotazování nebo chyba zobrazení dat.

  4. Na front-endu nejsou umísťována jednoduchá omezení vstupu pro ovládací prvek; (na front-endu by například mělo být povoleno rozhodování o zobrazení formátu při přihlašování a registraci).

Chyba zobrazení (10 USDT)

Zobrazení není adekvátní a neodpovídá chování uživatelů:

  1. Rozhraní není správně navržené.

  2. Popis nebo pokyn pro konkrétní funkci není jasný.

Jazyk

Jazykové problémy (10 USDT)

  1. Gramatika kopie uživatelského rozhraní není správná.

  2. Nesprávné použití interpunkce

  3. Překlepy

  4. Matoucí obsah

Pravidla týkající se chyby zabezpečení a nárok

Náš program odměn za chyby (bug bounty) nabízí 5 úrovní bezpečnostního rizika, a to extrémní, kritické, vysoké, střední a nízké. Specialisté na počítačovou bezpečnost (white hat) budou odměněni částkou až 1 000 000 USDT – chceme je tím motivovat k odhalení možných chyb zabezpečení. Doufáme, že díky tomuto systému vytvoříme stabilnější a spolehlivější obchodní prostředí pro všechny uživatele.

Úroveň rizika

Chyby zabezpečení jsou klasifikovány do 5 úrovní podle možného nebezpečí: extrémní, kritické, vysoké, střední a nízké. Společnost OKX vyhodnotí závažnost nahlášené chyby zabezpečení podle následujících kritérií:

Extrémní (jen Web3)

Kritéria: ovlivňuje všechny uživatele, výpadek delší než 60 min. nebo potenciální ztráty vyšší než 500 tis. USD.

  • Hromadné narušení finančních prostředků / privátních klíčů s nulovou interakcí nebo prolomení dat velkého rozsahu.

Kritická

Web2

  • Vzdálené spuštění kódu (RCE): spuštění libovolného kódu na serverech OKX

  • Injektáž SQL (Core DB): rozsáhlý přístup k datům / úprava dat v hlavní produkční databázi OKX

  • Převzetí backendu správce: získání klíčových oprávnění správce

  • Hromadné převzetí účtů: systémové převzetí velké části uživatelských účtů, obvykle ovlivňující více než 50 % uživatelů

  • Spouštění systémových příkazů: spouštění příkazů operačního systému na serverech

Mobil

  • Exploity na dálku: dálkové ohrožení integrity aplikace nebo provádění kódu v infrastruktuře OKX.

  • Hromadné prolomení dat: neoprávněný přístup k velkým objemům dat uživatelů prostřednictvím chyb aplikace.

  • Převzetí oprávnění správce: získání přístupu správce na backendu prostřednictvím mobilních vektorů.

  • Spouštění systémových příkazů: spouštění příkazů operačního systému na serverech aplikace.

  • Injektáž SQL/NoSQL: zneužití koncových bodů mobilního rozhraní API k manipulaci s dotazy na backendovou databázi vedoucí k hromadnému úniku/změně citlivých údajů (osobní údaje, finanční informace, přihlašovací údaje) nebo ohrožení backendového systému.

Desktopoví klienti

  • Vzdálené spuštění kódu (RCE): spuštění libovolného kódu na klientovi nebo připojeném serveru prostřednictvím desktopové aplikace.

  • Převzetí oprávnění správce: získání práv správce k backendu prostřednictvím klienta (např. SSRF na straně serveru).

  • Systémové příkazové provedení: spouštění příkazů operačního systému na klientském nebo backendovém serveru prostřednictvím nesprávné konfigurace nebo nezabezpečeného zpracování vstupů.

Web3

Kritéria: ovlivňuje více než 50 % uživatelů, výpadek delší než 15 minut nebo potenciální ztráty vyšší než 100 000 USD.

  • Vzdálené exploity validátorů/kontraktů nebo převzetí správy.

Vysoká

Web2

  • Uložené červy XSS: cross-site scripting s vlastní replikací na kritických stránkách určených pro uživatele.

  • CSRF (kritické akce): CSRF, které vedou k ohrožení účtu nebo neoprávněným akcím s aktivy.

  • Přístup k účtům ve velkém měřítku: neoprávněný přístup k více uživatelským účtům v důsledku chyb v logice ověřování nebo autorizace.

  • Injektáž SQL (omezená): Extrakce konkrétních citlivých údajů

  • Únik zdrojového kódu: Odhalení významného backendového nebo interního zdrojového kódu

  • SSRF (kontextový dopad): SSRF, který dosahuje interních služeb (závažnost SSRF závisí na dopadu dosaženého interního přístupu)

Mobil

  • CSRF (kritické akce): CSRF, které vedou k ohrožení účtu nebo neoprávněným akcím s aktivy.

  • SSRF (kontextový dopad): SSRF přistupující k interním systémům nebo službám prostřednictvím mobilních koncových bodů

  • Odhalení citlivých dat: únik šifrovaných nebo citlivých informací uložených v aplikaci nebo touto aplikací zpracovaných

  • Narušení transakcí: chyby v aplikaci, které narušují obchody, vklady nebo výběry.

  • Chyby logiky (s dopadem na prostředky): zneužití logiky aplikace k manipulaci se zůstatky nebo provádění neoprávněných transakcí.

  • Únik zdrojového kódu: odhalení významného zdrojového kódu aplikace.

  • Neoprávněné operace: provádění neoprávněných transakcí nebo finančních operací prostřednictvím exploitů aplikace

Desktopoví klienti

  • CSRF (převzetí účtů nebo převody prostředků): falešné klientské požadavky, které vedou k zásadním ověřeným akcím.

  • SSRF (kontextový dopad): falešné požadavky na interní služby z aplikace

  • Odhalení citlivých dat: odhalení šifrovaných seedů nebo místních citlivých dat prostřednictvím funkce aplikace

  • Narušení transakcí: chyby na straně klienta, které brání platnému obchodování, vkladům nebo výběrům.

  • Chyby logiky (s dopadem na prostředky): zneužití logiky na straně klienta k manipulaci se zůstatky na účtu nebo s chováním transakcí.

Web3

Kritéria: ovlivňuje více než 30 % uživatelů, výpadek delší než 10 minut nebo potenciální ztráty vyšší než 50 000 USD.

  • Problémy s validátory, chyby v logice související s prostředky nebo úniky kódů

Střední

Web2

  • Uložené XSS (interakce): trvalý cross-site scripting, který ke spuštění vyžaduje interakci uživatele.

  • CSRF (Core Business): CSRF se zaměřením na nekritické obchodní činnosti.

  • Obcházení ověření (omezené): neoprávněný přístup k backendu nebo uživatelským datům bez finančních dopadů.

  • Převzetí subdomén: řízení nevyužitých subdomén s reputačním rizikem nebo rizikem phishingu

  • Chyby v ověřovacím kódu: nedostatky v logice ověřování při přihlašování nebo resetování hesla

  • Odhalení citlivých dat: odhalení šifrovaných nebo interních uživatelských dat přes přístupné rozhraní

  • Přihlašovací údaje v otevřeném textu: přihlašovací údaje pevně zakódované ve zdrojovém kódu nebo konfiguračních souborech s výjimkou klíčů API.

Mobil

  • Uložené XSS (interakce): trvalý cross-site scripting v komponentách mobilních aplikací, který vyžaduje interakci uživatele

  • CSRF (Core Business): zfalšování cross-site požadavků zaměřené na nekritickou obchodní logiku

  • Obcházení ověření (omezené): neoprávněný přístup k uživatelským datům nebo konfiguracím bez finančního dopadu.

  • Úniky z lokálního úložiště: zveřejnění citlivých údajů uložených v aplikaci, jako jsou tokeny relace nebo šifrované přihlašovací údaje.

  • Chyby ověřování: slabiny v mechanismech OTP, přihlašování nebo resetování způsobené nedostatečným ověřením nebo omezováním rychlosti.

  • Přihlašovací údaje v otevřeném textu: pevně zakódovaná tajná data v souborech aplikace s výjimkou klíčů API.

Desktopoví klienti

  • CSRF (Core Business): padělání necitlivých akcí klienta, jako jsou změny nastavení.

  • Obcházení ověření (omezené): získání neoprávněného přístupu k nastavením na úrovni uživatele nebo k omezeným zobrazením klienta.

  • Úniky z lokálního úložiště: odhalení zneužitelných dat uložených klientem, jako jsou tokeny relace nebo autentizační tajemství, bez adekvátní ochrany nebo kontroly přístupu.

  • Přihlašovací údaje v otevřeném textu: pevně zakódovaná tajná data (kromě klíčů API) vložená do konfigurací klientů nebo binárních souborů.

Web3

Kritéria: Vyžaduje interakci nebo omezený rozsah.

  • Exploity peněženek založené na interakci nebo narušení transakcí.

Nízká

Web2

  • Reflektované XSS: trvalý cross-site scripting v URL adresách nebo parametrech.

  • DOM/Flash XSS: cross-site scripting na straně klienta bez interakce na backendu.

  • Otevřené přesměrování: přesměrování uživatelů na externí domény bez ověření.

  • Obecné úniky informací: odhalení interních cest, adresářů nebo debugovacích rozhraní.

  • Běžné CSRF: CSRF zaměřené na necitlivé uživatelské akce.

  • Manipulace s hlavičkami HTTP: úpravy hlaviček s malým dopadem, jako je chování mezipaměti nebo přesměrování.

Mobil

  • Expozice komponent: neúmyslná expozice komponent aplikace, jako jsou exportované aktivity Android nebo služby iOS.

  • Otevřené přesměrování: neověřené přesměrování v toku aplikace.

  • Problémy s hlavičkou HTTP: menší manipulace s hlavičkou se zanedbatelným dopadem.

Desktopoví klienti

  • Místní DoS: způsobení selhání desktopové aplikace pomocí chybně formátovaných souborů nebo vstupů.

  • Drobné nesprávné konfigurace: zveřejnění dočasných nebo lokálních souborů bez citlivých údajů nebo možnost přímého zneužití.

Web3

Kritéria: Minimální dopad nebo zneužitelnost.

  • Problémy se stabilitou uzlu nebo drobné úniky.

Další pokyny

  • IDOR: musí prokázat cestu k nalezení identifikátoru, nikoli pouze hrubou silou.

  • Mobilní zařízení: nahlašujte jednou za každou chybu zabezpečení napříč platformami (iOS/Android).

  • Duplicity: stejný problém u více aktiv = jedno hlášení.

  • Falešně pozitivní hlášení, chyby s nízkým obchodním dopadem nebo nevyužitelné chyby nebudou odměněny, ale mohou být uznány.

Mimo rozsah

  • Hlášení z automatizovaných nástrojů nebo skenerů

  • Falešná pozitivní injektáž SQL bez funkčního PoC prokazující extrakci jména uživatele/DB

  • Chyby zabezpečení spojené se spamem, falšováním e-mailů, e-mailovými bombami apod.

  • Útoky Self-XSS

  • Použití známých zranitelných knihoven/komponentů bez funkčního PoC

  • Clickjacking na stránkách bez citlivých akcí

  • Cross-Site Request Forgery (CSRF) u neověřených formulářů nebo formulářů s malým dopadem

  • Útoky vyžadující MITM nebo fyzický přístup k zařízení uživatele

  • Knihovny s již známou chybou zabezpečení bez funkčního PoC

  • Injektáž CSV bez doložení zneužití

  • Chybějící osvědčené postupy pro SSL/TLS (např. slabé šifrování, verze protokolu)

  • Denial-of-service (DoS) nebo pokusy o narušení služby

  • Falešný obsah nebo vkládání textu bez úpravy HTML/CSS nebo vektoru útoku

  • Problémy s omezením rychlosti nebo problémy spojené s hrubou silou u koncových bodů bez ověřování

  • Chybějící osvědčené postupy pro zásady zabezpečení obsahu

  • Chybějící značky souborů cookie HttpOnly nebo Secure

  • Chybějící nebo neplatné záznamy SPF/DKIM/DMARC

  • Chyby zabezpečení ovlivňující pouze zastaralé prohlížeče / prohlížeče bez použitých oprav (starší než 2 stabilní verze)

  • Zveřejnění verze softwaru, informace o banneru, stopy stacků nebo verbose chyby

  • Veřejně 0 dní s opravami zveřejněnými před méně než 1 měsícem (podle konkrétních případů)

  • Tabnabbing

  • Chyby zabezpečení vyžadující nepravděpodobnou uživatelskou interakci

  • Chyby zabezpečení, které jsou internímu týmu již známé

  • Doporučení osvědčených postupů (např. návrhy zpřísnění)

  • Chyby zabezpečení spojené s WordPressem

  • Únos DLL bez prokázání eskalace oprávnění

  • Obcházení omezení rychlosti pouhou změnou IP adresy nebo ID zařízení

  • Zfalšování adresního řádku, URL nebo domény v mobilních prohlížečích v aplikacích (např. prohlížeče založené na dApp nebo WebView)

  • Odhalení citlivých dat na sociálních sítích

  • Interní převzetí domén mimo okx.com, okg.com nebo oklink.com

  • Klienti (pro desktop / mobilní) stažení z jiných než příslušných oficiálních zdrojů

  • Proof of Reserves je hlášeno jako únik „citlivého dokumentu“

  • Hlášení založená pouze na statické analýze binárních souborů bez PoC ovlivňujícího obchodní logiku

  • Absence maskování, binární ochrana nebo detekce jailbreaku / útoku root

  • Obcházení připínání certifikátů na zařízeních s rootem/jailbreakem

  • Absence zmírnění exploitů (např. PIE, ARC, Stack Canaries)

  • Citlivá data v adresách URL / tělech požadavků, jsou-li chráněna protokolem TLS

  • Odhalení cesty v binárním souboru

  • Pevně zakódovaná/obnovitelná tajemství aplikací v IPA/APK bez dopadu na obchodní činnost

  • Citlivá data uložená v soukromém adresáři aplikace

  • Aplikace selhala kvůli chybně formátovaným schématům URL nebo exportovaným komponentám

  • Exploity chodu služby, které jsou možné pouze v prostředí s rootem/jailbreakem (např. přes službu Frida)

  • Úniky sdílených odkazů přes schránku

  • Úniky URI způsobené škodlivými aplikacemi s oprávněními

  • Odhalení klíčů API bez prokázaného dopadu na bezpečnost (např. klíče API Google Maps nebo klíče nalezené v našich veřejných repozitářích GitHub)

  • Služby třetích stran (pokud nejsou výslovně povoleny)

  • Služby nevlastněné společností OKX (např. chyby zabezpečení u poskytovatelů cloudových služeb)

Obecná pravidla

  • Buďte první, kdo nahlásí chybu zabezpečení.

  • Poskytněte jasnou PoC s postupem reprodukce.

  • Neprovádějte testování, které má vliv na skutečné uživatelské účty.

  • Neprovádějte útoky typu denial-of-service, spamování ani sociální inženýrství.

  • Nepokoušejte se přistupovat k uživatelským údajům ani je měnit bez povolení.

Řešení sporů

Pokud máte jakoukoliv zpětnou vazbu k procesu nahlašování chyb, úrovním rizik a jejich vyhodnocování, obraťte se prosím neprodleně na náš tým zákaznické podpory.