Types et niveaux de commentaires

Date de publication : 4 août 2025Date de mise à jour : 26 sept. 2025Lecture de 13 min

Une fois que les utilisateurs ont envoyé des commentaires, ils doivent attendre les résultats de l’examen. Une fois que les utilisateurs ont approuvé les résultats de l’examen, ils reçoivent la récompense du niveau correspondant. Remarque : ce programme de récompense n’est disponible que pour les utilisateurs sur la liste blanche.

Modèle de soumission de vulnérabilité

  1. Pack de requête de la vulnérabilité ou URL (texte, pas de capture d’écran) ou étapes de l’opération (par ex., Paramètres -> Informations personnelles -> Problème de chargement d’image).

  2. Charge utile de faille.

  3. Preuve de risque de vulnérabilité (le score est attribué selon le niveau de risque).

Défauts et suggestions

Erreurs graves (100 USDT)

  1. Impossible d'effectuer des fonctions importantes (par ex. les transactions ne s'exécutent pas, impossible de passer des ordres).

  2. L’erreur s’étend et affecte le fonctionnement normal d’autres fonctions importantes.

  3. L’application échoue, se bloque, et des boucles infinies sont causées par des opérations non conventionnelles (par ex. des opérations que les utilisateurs n’effectueront pas lors de l’utilisation du logiciel).

  4. Défauts qui sont inacceptables dans l’apparence (par ex., distorsion, compression ou déformation d’une image).

  5. Problèmes de sécurité qui entraînent une fuite des données (par ex. fuite des informations privées d’un compte suite à des attaques malveillantes).

Erreurs générales (30 USDT)

Défauts qui n’affectent pas les opérations du produit et qui ne causent pas d’échec, mais qui ont des répercussions assez importantes sur l’apparence du produit ou les processus suivants.

  1. Les fonctions secondaires ne peuvent pas être exécutées normalement.

  2. Erreurs d’interface (par ex. les significations des noms et les descriptions des colonnes dans la fenêtre des données ne correspondent pas).

  3. Erreur de requête ou erreur d’affichage de données.

  4. Les restrictions de saisie simples ne sont pas en place dans l’interface utilisateur ou le système front-end à des fins de contrôle (par ex. le jugement d’affichage du format dans la connexion et l’inscription doit être activé dans l’interface utilisateur ou le système front-end).

Erreurs d'affichage (10 USDT)

Les affichages ne sont pas décents et ne sont pas conformes au comportement de l’utilisateur :

  1. L'interface n'est pas conçue correctement.

  2. La description ou l'instruction d'une fonction spécifique n'est pas claire.

Langue

Problèmes linguistiques (10 USDT)

  1. La syntaxe du texte de l’interface utilisateur est incorrecte.

  2. Utilisation incorrecte de la ponctuation.

  3. Erreurs de frappe.

  4. Contenu trop complexe.

Règles et éligibilité concernant les bogues de sécurité

Notre programme de prime au bogue offre cinq niveaux de risque de sécurité : extrême, critique, élevé, moyen et faible. Un « chapeau blanc » (hacker éthique) recevra jusqu'à 1 000 000 USDT en récompense. Ce programme vise à inciter les hackers à nous aider à découvrir de possibles vulnérabilités. Grâce à ce système, nous espérons créer un environnement de trading plus et de confiance pour tous les utilisateurs.

Niveau de risque

Les vulnérabilités sont réparties entre cinq niveaux selon les dangers possibles : extrême, critique, élevé, moyen et faible. OKX évaluera la gravité d’une vulnérabilité signalée avec les critères suivants :

Extrême (Web3 uniquement)

Critères : affecte tous les utilisateurs, plus de 60 minutes de temps d'arrêt ou plus de 500 000 $ de perte potentielle.

  • Compromission massive sans interaction de fonds/clefs privées ou violation de données à grande échelle.

Critique

Web2

  • Exécution de code à distance (RCE) : Exécution de code arbitraire sur les serveurs OKX.

  • Injection SQL (base de données principale) : Accès/modification à grande échelle des données dans la base de production principale d’OKX.

  • Prise de contrôle du back-end admin : Obtention de privilèges administratifs critiques.

  • Prise de contrôle massive de comptes : Compromission systémique d’une large portion des comptes utilisateurs, affectant généralement plus de 50 % des utilisateurs.

  • Exécution de commandes système : Exécution de commandes OS sur les serveurs.

Mobile

  • Failles de sécurité à distance : Compromission de l’intégrité de l’application ou exécution de code sur l’infrastructure OKX.

  • Violation massive de données : Accès non autorisé à de grands volumes de données utilisateurs via des failles applicatives.

  • Prise de contrôle admin via mobile : Obtention d’un accès administratif back-end par vecteurs mobiles.

  • Exécution de commandes système : Exécution de commandes OS sur des serveurs applicatifs.

  • Injection SQL/NoSQL : Exploitation des API mobiles pour manipuler les requêtes de base de données, entraînant exfiltration/modification massive de données sensibles (PII, infos financières, identifiants) ou compromission back-end.

Clients desktop

  • Exécution de code à distance (RCE) : Exécution de code arbitraire côté client ou serveur via l’application desktop.

  • Prise de contrôle admin (client) : Obtention de privilèges administratifs via le client (par ex. SSRF côté serveur).

  • Exécution de commandes système : Lancement de commandes OS côté client ou back-end via mauvaises configurations ou entrées non sécurisées.

Web3

Critères : Affecte plus de 50 % des utilisateurs, plus de 15 min d’indisponibilité, ou pertes potentielles de plus de 100 000 $.

  • Failles de sécurité distants sur validateurs/contrats ou prises de contrôle admin.

Élevé

Web2

  • Attaque XSS stockée : Cross-site scripting auto-réplicatif sur des pages critiques côté utilisateur.

  • CSRF (actions critiques) : Falsification de requêtes menant à la compromission de comptes ou actions non autorisées sur les fonds.

  • Accès massif aux comptes : Accès non autorisé à plusieurs comptes utilisateurs dû à des failles d’authentification ou d’autorisation.

  • Injection SQL (limitée) : Extraction de données sensibles spécifiques.

  • Fuite de code source : Exposition significative de code interne ou back-end.

  • SSRF (impact contextuel) : SSRF qui atteint les services internes (la gravité du SSRF dépend de l'impact de l'accès interne atteint).

Mobile

  • CSRF (actions critiques) : Falsification de requêtes menant à la compromission de comptes ou actions non autorisées sur les fonds.

  • SSRF (impact contextuel) : SSRF accédant à des systèmes ou services internes via des points de terminaison mobiles.

  • Fuite de données sensibles : Fuite d’infos sensibles ou chiffrées stockées/traitées par l’app.

  • Perturbations des transactions : Failles empêchant trading, dépôts ou retraits.

  • Failles logiques (impactant les fonds) : Exploitation de la logique de l'application pour manipuler des soldes ou exécuter des transactions non autorisées.

  • Fuite de code source : Fuite de code source important de l'application.

  • Opérations non autorisées : Transactions ou opérations financières via des failles de sécurité de l'application.

Clients desktop

  • CSRF (prise de compte ou transferts de fonds) : Requêtes falsifiées menant à des actions critiques authentifiées.

  • SSRF (impact contextuel) : Requêtes falsifiées de l'application aux services internes.

  • Exposition de données sensibles (côté client) : Fuite de seeds chiffrés ou données locales via l’app.

  • Perturbations des transactions : bogues du côté du client empêchant le trading, les dépôts ou les retraits valides.

  • Failles logiques (impactant les fonds) : Exploitation de la logique côté client pour manipuler les soldes du compte ou le fonctionnement des transferts.

Web3

Critères : affecte plus de 30 % des utilisateurs, plus de 10 minutes de temps d'arrêt ou plus de 50 000 $ de perte potentielle.

  • Problèmes validateurs, failles de logique des fonds ou fuite de code.

Medium

Web2

  • XSS persistants (interaction requise) : Cross-site scripting nécessitant une action utilisateur.

  • CSRF (actions secondaires) : Falsification ciblant des actions non critiques.

  • Bypass d’auth (limité) : Accès non autorisé aux données utilisateurs ou au back-end sans impact financier.

  • Prise de contrôle de sous-domaines : Contrôle de sous-domaines inactifs entraînant risques de réputation/phishing.

  • Failles de vérification (codes) : Faiblesses dans la logique OTP, connexion ou réinitialisation.

  • Fuite de données sensibles : Divulgation de données utilisateur internes/chiffrées.

  • Identifiants en clair : Identifiants codés en dur dans le code/config (hors API keys).

Mobile

  • XSS persistants (interaction requise) : Cross-site scripting persistant dans les composants de l’application mobile nécessitant une interaction de l’utilisateur.

  • CSRF (Core Business) : Falsification cross-site ciblant une logique métier non critique.

  • Auth Bypass (Limité) : Accès non autorisé à des données utilisateur ou à des configurations sans impact financier.

  • Fuites de stockage local : Divulgation de tokens de session ou infos sensibles stockées sans protection suffisante.

  • Lacunes de vérification : Failles dans les mécanismes OTP, de connexion ou de réinitialisation en raison d’une validation ou d’une limitation de fréquence insuffisante.

  • Identifiants en clair : Secrets hardcodés dans les fichiers de l’application, à l’exclusion des clés API.

Clients desktop

  • CSRF (Core Business) : Falsifications d’actions non sensibles côté client, telles que des modifications de paramètres.

  • Auth Bypass (Limité) : Obtention d’un accès non autorisé aux configurations utilisateur ou à des vues client restreintes.

  • Fuites de stockage locales : exposition de données exploitables stockées par le client, telles que des jetons de session ou des secrets d'authentification, sans protection ni contrôle d'accès adéquat.

  • Identifiants en clair : Secrets hardcodés (hors clés API) intégrés dans les configurations ou binaires du client.

Web3

Critères : Nécessite une interaction ou à portée limitée.

  • Failles de sécurité des wallets nécessitant interaction ou perturbations des transactions.

Faible

Web2

  • XSS réfléchi : Injection non persistante via paramètres/URLs.

  • XSS DOM/Flash : Cross-site scripting côté client sans interaction back-end.

  • Redirections ouvertes : Redirection d’utilisateurs vers domaines externes sans validation.

  • Fuites d’informations générales : Exposition de chemins internes, répertoires ou interfaces de debug.

  • CSRF commun : CSRF ciblant des actions utilisateur non sensibles.

  • Manipulation d’en-têtes HTTP : Modification des en-têtes avec faible impact (par ex. cache, redirections).

Mobile

  • Exposition de composants : Exposition involontaire de composants applicatifs (par ex. activités Android exportées, services iOS).

  • Redirections ouvertes : Redirections non validées dans les flux applicatifs.

  • Problèmes d’en-têtes HTTP : Manipulation mineure d’en-têtes avec impact négligeable.

Clients desktop

  • DoS local : Plantage de l’application desktop via des fichiers ou entrées malformées.

  • Mauvaise configuration mineure : Exposition de fichiers temporaires/locaux sans données sensibles ni failles de sécurité directes.

Web3

Critères : Impact ou exploitabilité minimale.

  • Problèmes de stabilité des nœuds ou fuites mineures.

Directives additionnelles

  • IDOR : Doit démontrer un chemin de découverte d’ID, et non uniquement du bruteforce.

  • Mobile : Rapport unique par vulnérabilité (iOS/Android).

  • Doublons : Même problème concernant plusieurs actifs = un seul rapport.

  • Les faux positifs, les faibles répercussions commerciales ou les bogues non exploitables ne seront pas récompensés, mais peuvent être reconnus.

Hors périmètre

  • Rapports issus d’outils ou scanners automatisés

  • Injections SQL signalées comme faux positifs sans PoC valide (extraction DB ou nom utilisateur)

  • Vulnérabilités liées aux courriers indésirables, au spoofing, au bombardement de messagerie, etc.

  • Auto-script de site à site

  • Usage de bibliothèques vulnérables connues sans PoC valide

  • Détournement de clic sur des pages sans actions sensibles

  • Forgery Cross-Site Request (CSRF) sur formulaires non authentifiés ou à faible impact

  • Attaques nécessitant un MITM (Man-in-the-Middle), un root/jailbreak ou un accès physique à l'appareil de l'utilisateur

  • Bibliothèques vulnérables connues sans PoC valide

  • Injection CSV sans exploitation démontrée

  • Absence de bonnes pratiques SSL/TLS (par ex. chiffrements faibles, versions de protocoles).

  • Tentatives de DoS (Déni de service) ou de perturbation de service.

  • Spoofing de contenu ou injection de texte sans modification HTML/CSS ni vecteur d’attaque.

  • Problèmes de limitation du taux ou de force brute sur des points de terminaison non authentifiés

  • Meilleures pratiques concernant la politique de sécurité des contenus manquante

  • Flags HttpOnly/Secure des cookies manquants ou invalides.

  • SPF/DKIM/DMARC manquants ou invalides.

  • Vulnérabilités affectant uniquement des navigateurs obsolètes (plus de 2 versions stables de retard).

  • Divulgation de versions/logs/bannières ou erreurs verbeuses

  • 0-day publics patchés depuis moins de 1 mois (au cas par cas).

  • Tabnabbing

  • Vulnérabilités nécessitant une interaction utilisateur improbable

  • Vulnérabilités déjà connues des équipes internes

  • Recommandations de bonnes pratiques (par ex. hardening)

  • Vulnérabilités liées à WordPress

  • Hijacking DLL sans escalade de privilèges

  • Contournement de la limite de taux par changement d’IP ou d'identifiant d'appareil

  • Spoofing de barre d'adresse, d’URL ou de domaines dans navigateurs in-app (par ex. dApp ou navigateur basé sur WebView)

  • Fuite de données sensibles sur réseaux sociaux

  • Prise de contrôle de domaines internes en dehors d'okx.com, okg.com ou oklink.com

  • Clients (desktop/mobile) non téléchargés depuis les sources officielles en scope

  • Preuve de réserves signalée comme fuite de « document sensible »

  • Rapports basés uniquement sur analyse statique de binaires sans PoC affectant la logique métier

  • Absence d’obfuscation, protections binaires ou détection root/jailbreak

  • Contournement du certificate pinning sur appareils rootés/jailbreakés

  • Manque d’atténuation des failles de sécurité (PIE, ARC ou Stack Canaries)

  • Données sensibles dans URLs/corps de requêtes protégés par TLS

  • Divulgation de chemins dans binaires

  • Secrets d'application hardcodés/récupérables dans l'IPA/APK sans impact commercial

  • Données sensibles stockées dans le répertoire privé de l’app

  • Crashs d’apps dus à des schémas URL malformés ou des composants exportés

  • Failles de sécurité runtime possibles uniquement sur environnements rootés/jailbreakés (par ex. via Frida)

  • Liens partagés fuité via presse-papier

  • Fuites d’URI causées par apps malveillantes avec permissions

  • Fuite de clés API sans impact de sécurité (par ex. clés API Google Maps ou clés publiques trouvée dans notre GitHub)

  • Vulnérabilités de services tiers (sauf autorisation explicite).

  • Services non détenus par OKX (par ex., vulnérabilités du fournisseur cloud)

Règles générales

  • Être le premier à signaler la vulnérabilité.

  • Fournir un PoC clair avec étapes de reproduction.

  • Ne pas tester sur des comptes utilisateurs réels.

  • Ne pas effectuer de DoS, spam ou ingénierie sociale.

  • Ne pas tenter d’accéder ou de modifier des données utilisateurs sans permission.

Résolution des litiges

Pour tout retour sur le processus de signalement, la classification des risques ou la notation des vulnérabilités, contactez directement notre équipe d'assistance.