Palautteen tyypit ja tasot

Julkaistu 4.8.2025Päivitetty 26.9.2025Lukuaika: 11 minuuttia

Kun käyttäjät ovat lähettäneet palautetta, heidän tulee odottaa tarkistuksen tuloksia. Kun käyttäjät hyväksyvät tarkastuksen tulokset, he saavat vastaavan tason mukaisen palkkion. Huomautus: tämä palkkio-ohjelma on vain sallittujen listalla olevien käyttäjien saatavilla.

Tietoturva-aukon ilmoituspohja

  1. Tietoturva-aukon pyyntöpaketti tai URL-osoite (tekstinä, ei näyttökuvia) tai vaiheet (esim. Asetukset -> Henkilötiedot -> Kuvan lataamiseen liittyvä ongelma).

  2. Porsaanreiän vakavuus.

  3. Todiste tietoturva-aukon riskistä (asteikko on riskitason mukainen).

Virheet ja ehdotukset

Vakavat virheet (100 USDC:tä)

  1. Tärkeiden toimintojen suoritus ei onnistu (esim. transaktioita ei voi suorittaa, toimeksiantoja ei voi tehdä).

  2. Virhe leviää ja vaikuttaa muiden tärkeiden toimintojen normaaliin toimintaan.

  3. Sovelluksen kaatuminen, jäätyminen ja loputtomat syklit, jotka johtuvat epätavallisista toiminnoista (esim. toiminnoista, joita käyttäjät eivät suorita ohjelmiston käytön aikana).

  4. Virheet, joissa ulkoasu ei ole hyväksyttävä (esim. vääristyneet kuvat, pakkaus tai kuvan epämuodostuminen).

  5. Tietovuotoon johtavat tietoturvaongelmat (esim. tilin yksityisten tietojen vuotaminen, joka johtuu haitallisista hyökkäyksistä).

Yleiset virheet (30 USDC:tä)

Viat, jotka eivät vaikuta tuotteen toimintaan tai aiheuta häiriöitä, mutta jotka vaikuttavat huomattavasti tuotteen ulkoasuun tai alla mainittuihin prosesseihin.

  1. Toissijaisia toimintoja ei voi suorittaa normaalisti.

  2. Käyttöliittymän virheet (esim. sarakkeiden nimet ja kuvaukset ovat epäyhdenmukaisia).

  3. Kyselyvirhe tai tietojen näyttämiseen liittyvä virhe.

  4. Yksinkertaisia syöttörajoituksia ei ole asetettu käyttöliittymään hallittavaksi (esim. kirjautumisen ja rekisteröitymisen muotoilun näyttö tulisi ottaa käyttöön käyttöliittymässä).

Tietojen esittelyyn liittyvät virheet (10 USDC:tä)

Näytöllä oleva tiedot eivät ole kelvollisia ja ne eivät vastaa käyttäjien toimintaa:

  1. Käyttöliittymää ei ole suunniteltu asianmukaisesti.

  2. Tietyn toiminnon kuvaus tai ohjeet eivät ole selkeitä.

Kieli

Kieliongelmat (10 USDC:tä)

  1. Käyttöliittymän teksti on kieliopillisesti virheellistä.

  2. Välimerkkejä on käytetty virheellisesti.

  3. Kirjoitusvirheitä.

  4. Sisältö on hämmentävää.

Turvallisuusvirheiden säännöt ja kelpoisuus

Bug-bounty-ohjelmassamme on viisi turvallisuusriskitasoa: äärimmäinen, kriittinen, korkea, keskitaso ja matala. Valkohattuhakkerit palkitaan jopa 1 000 000 USDC:llä, jotta voimme tukea valkohattuhakkereita auttamaan meitä löytämään mahdollisia tietoturva-aukkoja. Tämän järjestelmän avulla toivomme rakentamaan vakaamman ja luotettavamman treidausympäristön kaikille käyttäjille.

Riskitaso

Tietoturva-aukot luokitellaan viiteen tasoon mahdollisen vaaran mukaan: äärimmäinen, kriittinen, korkea, keskitasoinen ja matala. OKX arvioi ilmoitetun haavoittuvuuden vakauden seuraavien kriteerien perusteella:

Äärimmäinen (vain Web3)

Kriteerit: Vaikuttaa kaikkiin käyttäjiin, käyttökatkos > 60 minuuttia tai mahdolliset tappiot > 500 000 $.

  • Varojen / yksityisten avainten laajamittainen vaarantuminen ilman vuorovaikutusta tai laajamittaiset tietomurrot.

Kriittinen

Web2

  • Etäkäyttöinen koodin suorittaminen (Remote Code Execution, RCE): mielivaltaisen koodin suorittaminen OKX:n palvelimilla

  • SQL-lisäys (ydintietokanta): Laajamittainen tietojen käyttö/muokkaus OKX:n ydintuotantotietokannassa

  • Ylläpitäjän taustajärjestelmän kaappaus: kriittisten ylläpitäjän oikeuksien saaminen

  • Massiivinen tilien kaappaus: Suurta osaa käyttäjätileistä koskeva järjestelmällinen kaappaus, joka yleensä vaikuttaa yli 50 %:iin käyttäjistä.

  • Järjestelmän komentojen suorittaminen: Käyttöjärjestelmän komentojen suorittaminen palvelimilla

Mobiili

  • Etähyökkäykset: Sovelluksen eheyden vaarantaminen tai koodin suorittaminen OKX:n infrastruktuurissa etäyhteyden kautta.

  • Massiivinen tietomurto: Sovelluksen puutteiden kautta tapahtuva luvaton pääsy suuriin määriin käyttäjätietoja.

  • Järjestelmänvalvojan oikeuksien kaappaus: Taustajärjestelmän hallintaoikeuksien hankkiminen mobiililaitteiden kautta.

  • Järjestelmäkomentojen suorittaminen: Käyttöjärjestelmän komentojen suorittaminen sovelluspalvelimilla.

  • SQL/NoSQL-lisäys: Mobiili-API-päätelaitteiden hyväksikäyttö taustajärjestelmän tietokantapyyntöjen manipuloimiseksi, mikä johtaa arkaluonteisten tietojen (henkilötietojen, taloudellisten tietojen, tunnistetietojen) massiiviseen vuotamiseen/muokkaamiseen tai taustajärjestelmän vaarantumiseen.

Työpöytäasiakaspäätteet

  • Etäkäyttöinen koodin suorittaminen (Remote Code Execution, RCE): Mielivaltaisen koodin suorittaminen asiakaspäätteellä tai yhdistetyllä palvelimella työpöytäsovelluksen kautta.

  • Järjestelmänvalvojan oikeuksien kaappaus: Taustajärjestelmän hallinnan saaminen asiakaspäätteen kautta (esim. palvelinpuolen pyynnön väärentäminen).

  • Järjestelmän komentojen suorittaminen: Käyttöjärjestelmän komentojen suorittaminen asiakaspäätteellä tai taustajärjestelmäpalvelimella virheellisten määritysten tai epävarman syötteen käsittelyn kautta.

Web3

Kriteerit: Vaikuttaa > 50 %:iin käyttäjistä, käyttökatkos > 15 minuuttia tai mahdolliset tappiot > 100 000 $.

  • Validoijien/sopimusten etähyökkäykset tai järjestelmänvalvojan oikeuksien kaappaus.

Korkea

Web2

  • Tallennetut XSS-madot: Itsestään monistuva cross-site scripting kriittisillä käyttäjille näkyvillä sivuilla.

  • Sivustojen välisten pyyntöjen väärentäminen (kriittiset toimet): Sivustojen välisten pyyntöjen väärentäminen, joka johtaa tilin vaarantumiseen tai luvattomiin varojen siirtoihin.

  • Tilien laajamittaisesti käyttöönotto: Useiden käyttäjätilien luvaton käyttö todentamis- tai valtuutuslogiikan puutteiden vuoksi.

  • SQL-lisäys (rajoitettu): Tiettyjen arkaluonteisten tietojen kerääminen

  • Lähdekoodin vuotaminen: Merkittävä taustakoodin tai sisäisen lähdekoodin paljastuminen

  • Palvelinpuolen pyynnön väärentäminen (kontekstuaalinen vaikutus): Palvelinpuolen pyynnön väärentäminen, joka ulottuu sisäisiin palveluihin (palvelinpuolen pyynnön väärentämisen vakavuus riippuu saavutetun sisäisen pääsyn vaikutuksesta).

Mobiili

  • Sivustojen välisten pyyntöjen väärentäminen (kriittiset toimet): Sivustojen välisten pyyntöjen väärentäminen, joka johtaa tilin vaarantumiseen tai luvattomiin varojen siirtoihin.

  • Palvelinpuolen pyynnön väärentäminen (suhteellinen vaikutus): Palvelinpuolen pyynnön väärentäminen hyväksikäyttää sisäisiä järjestelmiä tai palveluita mobiililaitteen päätepisteiden kautta.

  • Arkaluontoisten tietojen paljastuminen: Sovelluksen tallentamien tai käsittelemien salattujen tai arkaluontoisten tietojen vuotaminen.

  • Transaktiokatkokset: Sovellusvirheet, jotka häiritsevät treidausta, talletuksia tai nostoja.

  • Loogiset puutteet (varoihin kohdistuvat vaikutukset): Sovelluksen logiikan hyväksikäyttö saldojen manipuloimiseksi tai luvattomien transaktioiden suorittamiseksi.

  • Lähdekoodin vuotaminen: Sovelluksen lähdekoodin merkittävä paljastuminen.

  • Luvattomat toimet: Luvattomien transaktioiden tai rahoitustoimien suorittaminen sovelluksen haavoittuvuuksia hyväksikäyttämällä.

Työpöytäasiakaspäätteet

  • Sivustojen välisten pyyntöjen väärentäminen (tilin kaappaus tai varojen siirto): Tekaistut asiakaspyynnöt, jotka johtavat kriittisiin todennettuihin toimintoihin.

  • Palvelinpuolen pyynnön väärentäminen (suhteellinen vaikutus): Sovelluksesta sisäisiin palveluihin lähetetyt tekaistut pyynnöt.

  • Arkaluonteisten tietojen paljastaminen: Salattujen siemenlauseiden tai paikallisten arkaluonteisten tietojen paljastaminen sovelluksen toimintojen avulla.

  • Transaktiokatkokset: Asiakaspuolen virheet, jotka estävät kelvollisen treidauksen, talletukset tai nostot.

  • Loogiset puutteet (varoihin kohdistuvat vaikutukset): Asiakaspuolen logiikan hyväksikäyttö tilien saldojen tai siirtojen manipuloimiseksi.

Web3

Kriteerit: Vaikuttaa > 30 %:iin käyttäjistä, käyttökatkos > 10 minuuttia tai mahdolliset tappiot > 50 000 $.

  • Validoijiin liittyvät ongelmat, varojen logiikkaan liittyvät puutteet tai koodivuodot.

Keskitasoinen

Web2

  • Tallennettu XSS (vuorovaikutus): Pysyvä cross-site scripting, joka vaatii käyttäjän vuorovaikutusta toimiakseen.

  • Sivustojen välisten pyyntöjen väärentäminen (ydinliiketoiminta): Sivustojen välisten pyyntöjen väärentäminen, joka kohdistuu ei-kriittisiin liiketoimintoihin.

  • Todentamisen ohitus (rajoitettu): Luvaton pääsy taustajärjestelmään tai käyttäjätietoihin ilman taloudellisia vaikutuksia.

  • Aliverkkotunnuksen haltuunotto: Käyttämättömien aliverkkotunnusten hallinta, joihin liittyy maineeseen tai tietojenkalasteluun liittyvä riski.

  • Todennuskoodin puutteet: Heikkoudet kirjautumisen tai salasanan palautuksen todennuslogiikassa.

  • Arkaluonteisten tietojen paljastaminen: Salattujen tai sisäisten käyttäjätietojen paljastaminen käytettävissä olevien rajapintojen kautta.

  • Salaamattomat tunnistetiedot: Lähdekoodiin tai määritystiedostoihin koodatut tunnistetiedot, lukuun ottamatta API-avaimia.

Mobiili

  • Tallennettu XSS (vuorovaikutus): Mobiilisovelluksen komponenttien sisällä oleva pysyvä cross-site scripting, joka vaatii käyttäjän vuorovaikutusta.

  • Sivustojen välisten pyyntöjen väärentäminen (ydinliiketoiminta): Sivustojen välisten pyyntöjen väärentäminen, joka kohdistuu ei-kriittiseen liiketoimintalogiikkaan.

  • Todentamisen ohitus (rajoitettu): Luvaton pääsy käyttäjätietoihin tai määrityksiin ilman taloudellista vaikutusta.

  • Paikallisen tallennustilan tietovuodot: Sovellukseen tallennettujen arkaluontoisten tietojen, kuten istuntotunnusten tai salattujen tunnistetietojen, paljastuminen.

  • Todennusvirheet: OTP-, kirjautumis- tai nollausmekanismien puutteet, jotka johtuvat riittämättömästä validoinnista tai nopeuden rajoittamisesta.

  • Salaamattomat tunnistetiedot: Sovellustiedostoihin koodatut salatut tiedot, lukuun ottamatta API-avaimia.

Työpöytäasiakaspäätteet

  • Sivustojen välisten pyyntöjen väärentäminen (ydinliiketoiminta): Ei-arkaluonteisten asiakastoimintojen, kuten asetusten muutosten, väärentäminen.

  • Todentamisen ohitus (rajoitettu): Luvaton pääsy käyttäjätason määrityksiin tai rajoitettuihin asiakaspäätenäkymiin.

  • Paikallisen tallennustilan tietovuodot: Asiakaspäätteen tallentamien hyväksikäytettävissä olevien tietojen, kuten istuntotunnusten tai salattujen todennustietojen, paljastuminen ilman riittävää suojausta tai pääsynvalvontaa.

  • Salaamattomat tunnistetiedot: Kiinteästi koodatut salatut tiedot (lukuun ottamatta API-avaimia), jotka on upotettu asiakaspäätteiden kokoonpanoihin tai binääritiedostoihin.

Web3

Kriteerit: Vaatii vuorovaikutuksen tai rajoitettu laajuus.

  • Vuorovaikutukseen perustuvat lompakkohyökkäykset tai transaktiohäiriöt.

Matala

Web2

  • Heijastettu XSS: Ei-pysyvä cross-site scripting URL-osoitteissa tai parametreissa.

  • DOM/Flash XSS: Asiakaspäätteen puolella tapahtuva cross-site scripting ilman taustajärjestelmän vuorovaikutusta.

  • Avoimet uudelleenohjaukset: Käyttäjien ohjaaminen ulkoisille verkkosivustoille ilman vahvistusta.

  • Yleiset tietovuodot: Sisäisten polkujen, hakemistojen tai virheenkorjausrajapintojen paljastaminen.

  • Yleinen sivustojen välisten pyyntöjen väärentäminen: Sivustojen välisten pyyntöjen väärentäminen, joka kohdistuu ei-arkaluonteisiin asiakastoimintoihin.

  • HTTP-otsikoiden manipulointi: Otsikoiden muokkaaminen vähäisin vaikutuksin, kuten välimuistiin tai uudelleenohjauksiin liittyen.

Mobiili

  • Komponenttien altistuminen: Sovelluksen komponenttien, kuten vietyjen Android-toimintojen tai iOS-palveluiden, tahaton altistuminen.

  • Avoimet uudelleenohjaukset: Vahvistamattomat uudelleenohjaukset sovelluksessa.

  • HTTP-otsikkoihin liittyvät ongelmat: Vähäiset otsikoiden muutokset, joiden vaikutus on merkityksetön.

Työpöytäasiakaspäätteet

  • Paikallinen DoS: Työpöytäsovelluksen kaataminen virheellisten tiedostojen tai syötteiden avulla.

  • Vähäiset virheelliset määritykset: Sellaisten tilapäisten tai paikallisten tiedostojen paljastuminen, joissa ei ole arkaluonteisia tietoja tai joita ei voida suoraan käyttää hyväksi.

Web3

Kriteerit: Vähäinen vaikutus tai hyväksikäytettävyys.

  • Solmujen vakauteen liittyvät ongelmat tai pienet vuodot.

Lisäohjeet

  • IDOR: On osoitettava tunnisteen hakupolku, ei pelkästään väsytyshyökkäystä.

  • Mobiili: Tee ilmoitus kerran kutakin tietoturva-aukkoa kohden kaikilla alustoilla (iOS/Android).

  • Päällekkäiset: sama ongelma useissa kohteissa = yksi raportti.

  • Virheellisistä havainnoista sekä virheistä, joilla on vähäisiä liiketoiminnallisia vaikutuksia, tai joita ei voi käyttää hyväksi, ei tarjota palkkioita, mutta ne saatetaan mainita sivustolla.

Soveltamisalan ulkopuolella

  • Automaattisten työkalujen tai skannerin raportit

  • Virheellisesti havaittu SQL-lisäys ilman toimivaa yhteyspistettä, joka osoittaisi tietokannan/käyttäjänimen talteenoton

  • Roskapostiin liittyvät tietoturva-aukot, sähköpostien väärennökset, sähköpostien massalähetykset jne.

  • Self-XSS

  • Tunnetusti tietoturva-aukkoisten kirjastojen/komponenttien käyttö ilman toimivaa yhteyspistettä

  • Clickjacking sivuilla, joilla ei ole arkaluontoisia toimintoja

  • Sivustojen välisten pyyntöjen väärentäminen (CSRF) todentamattomissa tai vaikutukseltaan vähäisissä lomakkeissa

  • Hyökkäykset, jotka vaativat MITM:n, roottaus-/jailbreak-tilan tai fyysisen pääsyn käyttäjän laitteeseen

  • Aiemmin tunnetut tietoturva-aukkoiset kirjastot ilman toimivaa yhteyspistettä

  • CSV-lisäys ilman hyväksikäytön osoittamista

  • SSL:n/TLS:n parhaiden käytäntöjen puuttuminen (esim. heikot salausalgoritmit, protokollaversiot)

  • Palvelunestohyökkäykset (DoS) tai palvelun häirintäyritykset

  • Sisällön väärentäminen tai tekstin lisääminen ilman HTML:n/CSS:n muokkausta tai hyökkäysvektoria

  • Nopeuden rajoittaminen tai väsytyshyökkäysongelmat ei-todennettavissa päätepisteissä

  • Puuttuvat sisällön suojauskäytännöt

  • Puuttuvat HttpOnly- tai Secure-evästemerkinnät

  • Puuttuvat tai virheelliset SPF-/DKIM-/DMARC-tiedot

  • Tietoturva-aukot, jotka vaikuttavat vain vanhentuneisiin/suojaamattomiin selaimiin (yli 2 vakaata versiota vanhempiin)

  • Ohjelmistoversion paljastaminen, banneritiedot, stack tracet tai pitkät virheviestit

  • Julkiset nollapäivähaavoittuvuudet, joiden korjaukset on julkaistu alle 1 kuukausi sitten (tapauskohtaisesti)

  • Tabnabbing

  • Tietoturva-aukot, jotka edellyttävät epätodennäköistä käyttäjän vuorovaikutusta

  • Tietoturva-aukot, joista on jo ilmoitettu sisäisille tiimeille

  • Parhaisiin käytäntöihin liittyvät suositukset (esim. järjestelmien puolustuksen vahvistusehdotukset)

  • WordPressiin liittyvät tietoturva-aukot

  • DLL:n kaappaus osoittamatta etuoikeuksien laajentamista

  • Nopeusrajoituksen ohittaminen yksinkertaisesti vaihtamalla IP-osoitetta tai laitetunnusta

  • Osoitepalkin, URL-osoitteen tai verkkotunnuksen väärentäminen mobiilisovelluksen sisäisissä selaimissa (esim. dApp- tai WebView-pohjaisissa selaimissa)

  • Arkaluonteisten tietojen paljastaminen sosiaalisessa mediassa

  • Muiden sisäisten verkkotunnusten kuin okx.comin, okg.comin tai oklink.comin valloitukset

  • Asiakaspäätteet (työpöytä/mobiili), joita ei ole ladattu virallisista lähteistä

  • Ilmoituksen tekeminen varantotodistuksien julkaisemisesta "arkaluonteisen asiakirjan" vuotona

  • Ilmoitukset, jotka perustuvat vain binääritiedostojen staattiseen analyysiin ilman liiketoimintalogiikkaan vaikuttavaa yhteyspistettä

  • Peittämisen, binäärisuojauksen tai jailbreak-/roottaustunnistuksen puute

  • Sertifikaatin kiinnittämisen ohitus rootatuissa/jailbreakatuissa laitteissa

  • Puuttuvat haavoittuvuuksien lieventämistoimenpiteet (esim. PIE, ARC, Stack Canaries)

  • Arkaluonteiset tiedot URL-osoitteissa tai pyyntöjen sisällöissä, kun ne on suojattu TLS:llä

  • Polun paljastaminen binääritiedostoissa

  • Kiinteästi koodatut / haettavissa olevat sovelluksiin liittyvät salatut tiedot IPA:ssa/APK:ssa ilman vaikutusta liiketoimintaan

  • Yksityiseen sovellushakemistoon tallennetut arkaluonteiset tiedot

  • Sovelluksen kaatumiset epämuodostuneista URL-skeemoista tai viedyistä komponenteista johtuen

  • Runtime-hyökkäykset, jotka ovat mahdollisia vain rootatussa/jailbreak-ympäristössä (esim. Fridan kautta)

  • Leikepöydän kautta vuodetut jaetut linkit

  • URI-vuodot, joita aiheuttavat käyttöoikeudelliset haitalliset sovellukset

  • API-avainten paljastaminen ilman todistettua turvallisuusvaikutusta (esim. Google Mapsin API-avaimet tai avaimet, jotka löytyvät julkisista GitHub-tietovarastoista)

  • Kolmannen osapuolen palvelut (paitsi jos ne on nimenomaisesti sallittu)

  • Palvelut, joita OKX ei omista (esim. pilvipalvelujen tarjoajiin liittyvät tietoturva-aukot)

Yleiset säännöt

  • Sinun tulee olla ensimmäinen, joka tekee ilmoituksen tietoturva-aukosta.

  • Anna selkeä yhteyspiste ja virheen toistovaiheet.

  • Vältä kokeiluja, jotka vaikuttavat oikeiden käyttäjien tileihin.

  • Älä suorita palvelunestohyökkäystä, lähetä roskapostia tai harjoita sosiaalista manipulointia.

  • Älä yritä tarkastella tai muuttaa käyttäjätietoja ilman lupaa.

Kiistojen ratkaisu

Jos sinulla on palautetta raportointiprosessista, riskitasoista ja riskiluokituksesta, ota yhteyttä asiakastukitiimiimme.