Niveles y tipos de comentarios

Publicado el 4 ago 2025Actualizado el 26 sept 2025lectura de 14 min

Una vez que el usuario haya enviado un comentario, deberá esperar los resultados de la revisión. Cuando el usuario apruebe los resultados de la revisión, obtendrá el premio para el nivel correspondiente. Nota: Este programa de premios solo está disponible para los usuarios de la lista blanca.

Plantilla de informe de vulnerabilidades

  1. Paquete de solicitud de vulnerabilidades o URL (texto, no capturas de pantalla) o pasos de operación (p. ej., Configuración -> Información personal -> Problema al subir una imagen).

  2. Carga útil de errores de brechas de seguridad.

  3. Prueba de riesgo de vulnerabilidades (la calificación se asigna según el nivel de riesgo).

Defectos y sugerencias

Errores graves (100 USDT)

  1. No se pueden completar funciones importantes (p. ej., no se completan las transacciones, no se pueden colocar órdenes).

  2. El error se propaga y afecta las operaciones normales de otras funciones importantes.

  3. Bloqueos, fallas y bucles infinitos de la app causados por operaciones no convencionales (p. ej., operaciones que los usuarios no realizarán cuando usen el software).

  4. Defectos en la apariencia que son inaceptables (p. ej., distorsión, compresión o deformación de una imagen).

  5. Problemas de seguridad que causan filtraciones de datos (p. ej., filtración de información privada de la cuenta causada por ataques maliciosos).

Errores generales (30 USDT)

Defectos que no afectan las operaciones del producto ni causan fallos, sino que tienen un gran impacto en la apariencia del producto o en los próximos procesos.

  1. Las funciones secundarias no se pueden realizar normalmente.

  2. Errores de interfaz (p. ej., los significados de los nombres de columnas y las descripciones en la ventana de datos son inconsistentes).

  3. Error de consulta o error de visualización de datos.

  4. No se establecen restricciones de entrada simples en el front-end para control; (p. ej., falla la visualización de formato en el inicio de sesión, y el registro debe estar habilitado en el front-end)

Errores de visualización (10 USDT)

Las visualizaciones no son buenas y no se ajustan al comportamiento de los usuarios:

  1. La interfaz no está bien diseñada.

  2. La descripción o instrucción de una función en particular no es clara.

Idioma

Problemas lingüísticos (10 USDT)

  1. La gramática del texto de la interfaz de usuario es incorrecta.

  2. Existen errores en el uso de la puntuación.

  3. Existen errores tipográficos.

  4. Existen contenidos confusos.

Reglas de los errores de seguridad y elegibilidad

Nuestro programa de recompensa por errores ofrece cinco niveles de riesgo de seguridad: extremo, crítico, alto, medio y bajo. Podrás ganar hasta 1,000,000 USDT para incentivar a los hackers de sombrero blanco a que nos ayuden a descubrir posibles vulnerabilidades. Con este sistema, esperamos construir un ambiente de trading más estable y confiable.

Nivel de riesgo

Las vulnerabilidades se clasifican en cinco niveles, según los posibles peligros: extremo, crítico, alto, medio y bajo. OKX evaluará la gravedad de una vulnerabilidad informada con los siguientes criterios:

Extremo (solo Web3)

Criterios: Afecta a todos los usuarios, >60 min de inactividad o >$500,000 de pérdida potencial.

  • Compromiso masivo de fondos/claves privadas sin interacción o infracciones de datos a gran escala.

Crítico

Web2

  • Ejecución de código remoto (RCE): Ejecución de código arbitrario en los servidores de OKX

  • Inyección SQL (base de datos principal): Acceso/modificación de datos a gran escala en la base de datos de producción principal de OKX

  • Toma de control del backend del administrador: Obtener privilegios de administrador críticos

  • Toma de control masiva de la cuenta: Toma de control sistemática de una gran parte de las cuentas de los usuarios, que suele afectar a >50 % de los usuarios

  • Ejecución de comandos del sistema: Ejecución de comandos del sistema operativo en servidores

Teléfono celular

  • Vulneraciones remotas: Integridad de la aplicación comprometida o ejecución de código en la infraestructura de OKX.

  • Infracción masiva de datos: Acceso no autorizado a grandes volúmenes de datos de los usuarios a través de fallas de la aplicación.

  • Toma de control de los privilegios de administrador: Obtener acceso administrativo al backend a través de vectores de celulares.

  • Ejecución de comandos del sistema: Ejecución de los comandos del sistema operativo en los servidores de la aplicación.

  • Inyección SQL/NoSQL: Explotación de puntos finales de la API móvil para manipular consultas de bases de datos del backend, lo que genera una exfiltración o modificación de datos sensibles de forma masiva (PII, información financiera, credenciales) o el riesgo de comprometer el sistema del backend.

Versiones de escritorio

  • Ejecución de código remoto (RCE): Ejecución de código arbitrario en el cliente o servidor conectado a través de la aplicación de escritorio.

  • Toma de control de privilegios de administradores: Obtener el control administrativo del backend a través del cliente (p. ej., SSRF del servidor).

  • Ejecución de comandos del sistema: Ejecución de los comandos del sistema operativo en la versión o el servidor de backend a través de configuraciones incorrectas o la manipulación poco segura de entradas.

Web3

Criterios: Afecta a >50 % de los usuarios, >15 min de inactividad o >$100,000 de pérdida potencial.

  • Vulneraciones remotas en validadores/contratos o toma de control del acceso de administrador.

Alto

Web2

  • Gusanos XSS almacenados: Scripting entre sitios que se autorreplica en páginas críticas dirigidas a usuarios.

  • CSRF (acciones críticas): CSRF que comprometen la seguridad de la cuenta o generan acciones de activos no autorizadas.

  • Acceso a cuentas a gran escala: Acceso no autorizado a varias cuentas de usuario debido a fallas en la lógica de autenticación o autorización.

  • Inyección SQL (limitada): Extracción de datos sensibles específicos

  • Fuga de código fuente: Exposición de una parte importante del backend o de código fuente interno

  • SSRF (impacto contextual): SSRF que llega a los servicios internos (la gravedad de los SSRF depende del impacto del acceso interno obtenido).

Teléfono celular

  • CSRF (acciones críticas): CSRF que comprometen la seguridad de la cuenta o generan acciones de activos no autorizadas.

  • SSRF (impacto contextual): SSRF que accede a sistemas o servicios internos a través de puntos finales móviles.

  • Exposición de datos sensibles: Filtración de información cifrada o confidencial almacenada o procesada por la app.

  • Interrupciones de las transacciones: Fallas en la aplicación que interfieren con los flujos de trading, depósito o retiro.

  • Fallos lógicos (impacto del fondo): Explotación de la lógica de la aplicación para manipular los saldos o realizar transacciones no autorizadas.

  • Filtración de código fuente: Exposición de una cantidad significativa de código fuente de la aplicación.

  • Operaciones no autorizadas: Realizar transacciones u operaciones financieras no autorizadas a través de vulneraciones de la aplicación.

Versiones de escritorio

  • CSRF (toma de control de la cuenta o transferencia de fondos): Solicitudes de clientes falsificadas que generan acciones con autenticación críticas.

  • SSRF (impacto contextual): Solicitudes falsificadas de la app a servicios internos.

  • Exposición de datos sensibles: Exposición de semillas cifradas o datos sensibles locales a través de la funcionalidad de la aplicación.

  • Interrupciones en las transacciones: Errores del cliente que impiden llevar a cabo trades, depósitos o retiros válidos.

  • Defectos lógicos (impacto en los fondos): Explotar la lógica del cliente para manipular los saldos de la cuenta o los comportamientos de transferencia.

Web3

Criterios: Afecta a >30 % de los usuarios, >10 min de inactividad o >$50,000 de pérdida potencial.

  • Problemas con el validador, fallas en la lógica de los fondos o filtraciones de código.

Medio

Web2

  • XSS almacenado (interacción): Scripting entre sitios persistente que requiere la interacción del usuario para activarse.

  • CSRF (empresa principal): CSRF dirigida a acciones comerciales no críticas.

  • Omisión de autenticación (limitada): Acceso no autorizado a los datos del backend o del usuario sin impacto financiero.

  • Toma de control de subdominios: Control de subdominios sin usar con riesgo reputacional o de phishing.

  • Fallas del código de verificación: Debilidades en la lógica de verificación de inicio de sesión o restablecimiento de contraseña.

  • Exposición de datos sensibles: Divulgación de datos cifrados o internos de usuarios a través de interfaces accesibles.

  • Credenciales en texto plano: Credenciales con codificación rígida en el código fuente o los archivos de configuración, excluidas las claves API.

Teléfono celular

  • XSS almacenado (interacción): Scripting entre sitios persistente en los componentes de la app móvil que requiere la interacción del usuario.

  • CSRF (empresa principal): Falsificación de solicitudes entre sitios dirigida a la lógica comercial no crítica.

  • Omisión de autenticación (limitada): Acceso no autorizado a los datos o configuraciones del usuario sin impacto financiero.

  • Filtraciones de almacenamiento local: Divulgación de datos sensibles almacenados en la app, como tokens de sesión o credenciales cifradas.

  • Fallas de verificación: Debilidades en los mecanismos de OTP, inicio de sesión o restablecimiento debido a una validación o limitación de tasa insuficiente.

  • Credenciales de texto plano: Secretos con codificación rígida en archivos de la app, excluidas las claves API.

Versiones de escritorio

  • CSRF (empresa principal): Falsificación de acciones de clientes no sensibles, como cambios de configuración.

  • Omisión de autenticación (limitada): Obtener acceso no autorizado a configuraciones a nivel de usuario o vistas de clientes restringidas.

  • Filtraciones de almacenamiento local: Exposición de datos explotables almacenados por el cliente, como tokens de sesión o secretos de autenticación, sin protección ni control de acceso adecuados.

  • Credenciales en texto plano: Secretos con codificación rígida (excluidas las claves de API) incorporados en configuraciones de cliente o archivos binarios.

Web3

Criterios: Requiere interacción o tiene un alcance limitado.

  • Interrupciones de transacciones o vulneraciones de la billetera basadas en la interacción.

Bajo

Web2

  • XSS reflejado: Scripting entre sitios no persistente en URL o parámetros.

  • XSS basado en DOM/Flash: Scripting entre sitios del cliente sin interacción con el backend.

  • Redireccionamiento abierto: Redireccionamiento de usuarios a dominios externos sin validación.

  • Filtración de información general: Exposición de rutas internas, directorios o interfaces de depuración.

  • CSRF común: CSRF dirigida a acciones de usuarios no sensibles.

  • Manipulación de encabezado HTTP: Modificación de encabezados con bajo impacto, como el comportamiento de la caché o redireccionamientos.

Teléfono celular

  • Exposición de componentes: Exposición no intencional de componentes de la app, como actividades exportadas de Android o servicios de iOS.

  • Redireccionamientos abiertos: Redireccionamientos no validadas en los flujos de la app.

  • Problemas con el encabezado HTTP: Manipulación menor del encabezado con un impacto insignificante.

Versiones de escritorio

  • DoS local: Falla de la app de escritorio debido a archivos o entradas con formato incorrecto.

  • Errores menores en la configuración: Exposición de archivos locales o temporales sin datos sensibles ni capacidad de explotación directa.

Web3

Criterios: Impacto o capacidad de explotación mínimos.

  • Problemas de estabilidad del nodo o filtraciones menores.

Pautas adicionales

  • IDOR: Se debe demostrar la ruta de descubrimiento de ID, no solo usar la fuerza bruta.

  • Teléfono móvil: Un informe por vulnerabilidad en todas las plataformas (iOS/Android).

  • Duplicados: Para el mismo problema en varios activos se genera un informe.

  • Los errores de falsos positivos, bajo impacto comercial o no explotables no serán recompensados, pero pueden ser reconocidos.

Fuera de alcance

  • Informes de herramientas o escáneres automatizados

  • Error falso positivo de inyección SQL sin una PoC funcional que demuestre la extracción de nombre de usuario/base de datos.

  • Vulnerabilidades de spam, spoofing de correo electrónico, bomba de correo electrónico, etc.

  • XSS automático

  • Uso de bibliotecas o componentes conocidos como vulnerables sin una PoC funcional

  • Clickjacking en páginas sin acciones sensibles

  • Falsificación de solicitudes entre sitios (CSRF) en formularios sin autenticación o de bajo impacto

  • Ataques que requieren MITM, rooting/jailbreaking o acceso físico al dispositivo de un usuario

  • Bibliotecas vulnerables previamente conocidas sin una PoC funcional

  • Inyección de CSV sin demostrar la explotación

  • Prácticas recomendadas de SSL/TLS ausentes (p. ej., cifrados débiles, versiones de protocolo)

  • Intentos de denegación de servicio (DoS) o interrupción del servicio

  • Spoofing de contenido o inyección de texto sin modificación de HTML/CSS ni vector de ataque

  • Problemas de limitación de tasa o de fuerza bruta en puntos finales sin autenticación

  • Faltan prácticas recomendadas en la política de seguridad de contenido

  • Faltan indicadores de cookies HttpOnly o Secure

  • Faltan registros SPF/DKIM/DMARC o no son válidos

  • Vulnerabilidades que afectan únicamente a navegadores desactualizados/sin parches (con una antigüedad de más de 2 versiones estables)

  • Divulgación de la versión del software, información del banner, rastreos de pila o errores de verbosidad

  • 0 días públicos con parches lanzados hace menos de 1 mes (caso por caso)

  • Tabnabbing

  • Vulnerabilidades que requieren una interacción poco probable del usuario

  • Vulnerabilidades ya conocidas por los equipos internos

  • Mejores recomendaciones (p. ej., sugerencias de hardening)

  • Vulnerabilidades relacionadas con WordPress

  • Hijacking de DLL sin demostrar escalación de privilegios

  • Omisión de la limitación de tasa simplemente cambiando la dirección IP o el ID del dispositivo

  • Barra de direcciones, URL o falsificación de dominio en los navegadores de la app móvil (p. ej., navegadores dApp o basados en WebView)

  • Exposición de datos sensibles en las redes sociales

  • Toma de control de dominios internos fuera de okx.com, okg.com u oklink.com

  • Clientes (de escritorio/móviles) no descargados de fuentes oficiales dentro del alcance

  • Las proof of reserves se denunciaron como filtración de "documento sensible"

  • Informes basados únicamente en el análisis estático de archivos binarios sin que la PoC afecte la lógica comercial

  • Falta de ofuscación/protección binaria/detección de rooting/jailbreaking

  • Omisión de la fijación de certificados en dispositivos con rooting/jailbreaking

  • Faltan mitigaciones de vulneraciones (p. ej., PIE, ARC, Stack Canaries)

  • Datos sensibles en URL o cuerpos de solicitud cuando están protegidos por TLS

  • Divulgación de ruta en archivos binarios

  • Secretos de apps con codificación rígida/recuperables en IPA/APK sin impacto comercial

  • Datos sensibles almacenados en el directorio de apps privadas

  • Fallas de la app debido a esquemas de URL o componentes exportados con formato incorrecto

  • Vulneraciones durante el tiempo de ejecución que solo son posibles en entornos con rooting/jailbreaking (p. ej., a través de Frida)

  • Enlaces filtrados compartidos mediante el portapapeles

  • Filtraciones de URI causadas por apps maliciosas con permisos

  • Exposición de claves API sin impacto demostrado en la seguridad (p. ej., claves API de Google Maps o claves que se encuentran en nuestros repositorios públicos de GitHub)

  • Servicios de terceros (a menos que se permita explícitamente)

  • Servicios que no pertenecen a OKX (p. ej., vulnerabilidades de proveedores de la nube)

Reglas generales

  • Sé el primero en informar la vulnerabilidad.

  • Proporciona una PoC clara con los pasos de reproducción.

  • Evita hacer pruebas que afecten las cuentas de usuarios reales.

  • No realices operaciones de denegación de servicio, spam ni ingeniería social.

  • No intentes acceder ni modificar los datos del usuario sin permiso.

Resolución de conflictos

Si tienes algún comentario sobre el proceso de informe de errores, los niveles y la calificación de riesgos, ponte en contacto con nuestro equipo de servicio al cliente para obtener ayuda inmediata.