Jenis Dan Tingkatan Umpan Balik
Setelah pengguna mengirimkan umpan balik, mereka harus menunggu hasil peninjauan. Setelah pengguna menyetujui hasil peninjauan, mereka akan mendapatkan reward untuk tingkatan yang sesuai. Catatan: Program reward ini hanya tersedia bagi pengguna dalam daftar putih.
Templat Pengiriman Kerentanan
Paket permintaan kerentanan atau URL (teks, tanpa tangkapan layar) atau langkah-langkah operasi (misalnya, Pengaturan -> Informasi Pribadi -> Masalah Pengunggahan Gambar).
Muatan celah.
Bukti Risiko Kerentanan (peringkat diberikan sesuai dengan level risiko).
Cacat & Saran
Kesalahan Parah (100 USDT)
Tidak dapat menyelesaikan fungsi penting (misalnya, transaksi tidak selesai, order tidak dapat dibuat).
Kesalahan menyebar dan memengaruhi operasi normal dari fungsi penting lainnya.
Aplikasi crash, berhenti, dan mengalami loop tak terbatas akibat operasi yang tidak konvensional (misalnya, operasi yang tidak akan dilakukan pengguna saat menggunakan perangkat lunak).
Cacat yang tidak dapat diterima dalam tampilan (misalnya, distorsi, kompresi, atau deformasi gambar).
Masalah keamanan yang menyebabkan kebocoran data (misalnya, kebocoran informasi pribadi akun akibat serangan berbahaya).
Kesalahan Umum (30 USDT)
Cacat yang tidak memengaruhi operasi produk atau menyebabkan kegagalan, tetapi berdampak cukup besar pada tampilan produk atau proses berikutnya.
Fungsi sekunder tidak dapat dilakukan secara normal.
Kesalahan antarmuka (misalnya, Makna nama kolom dan deskripsi di jendela data tidak konsisten).
Kesalahan inkuiri atau kesalahan tampilan data.
Pembatasan input sederhana tidak ditempatkan di front-end untuk kontrol; (misalnya, penilaian tampilan format dalam proses masuk dan pendaftaran harus diaktifkan di front-end).
Kesalahan Tampilan (10 USDT)
Tampilan tidak memenuhi standar dan tidak sesuai dengan perilaku pengguna:
Antarmuka tidak dirancang dengan baik.
Deskripsi atau instruksi untuk fungsi tertentu tidak jelas.
Bahasa
Masalah Bahasa (10 USDT)
Tata bahasa salinan UI salah.
Penggunaan tanda baca salah.
Salah eja.
Konten yang membingungkan.
Aturan bug keamanan dan kelayakan
Program bug bounty kami menawarkan lima tingkatan risiko keamanan, yaitu ekstrem, kritis, tinggi, sedang, dan rendah. Seorang white hat akan diberi reward hingga 1.000.000 USDT agar para white hat termotivasi untuk membantu kami menemukan kemungkinan kerentanan. Dengan sistem ini, kami berharap untuk membangun lingkungan trading yang lebih stabil dan andal bagi semua pengguna.
Level Risiko
Kerentanan diklasifikasikan dalam lima level tergantung pada kemungkinan bahaya, yaitu ekstrem, kritis, tinggi, sedang, dan rendah. OKX akan mengevaluasi keparahan kerentanan yang dilaporkan dengan kriteria berikut:
Ekstrem (Khusus Web3)
Kriteria: Memengaruhi semua pengguna, waktu henti > 60 menit, atau potensi kerugian > $500 rb.
Pembobolan dana/kunci pribadi secara massal tanpa interaksi atau kebocoran data berskala besar.
Kritis
Web2
Eksekusi Kode Jarak Jauh (RCE): Menjalankan kode arbitrer pada server OKX
Injeksi SQL (DB Inti): Akses/modifikasi data berskala besar di database produksi inti OKX
Pengambilalihan Backend Admin: Mendapatkan privilese administrator yang penting
Pengambilan Akun Massal: Pengambilan sistemis dari sebagian besar akun pengguna, biasanya memengaruhi > 50% pengguna
Eksekusi Perintah Sistem: Menjalankan perintah OS di server
Seluler
Eksploitasi Jarak Jauh: Pembobolan jarak jauh terhadap integritas aplikasi atau eksekusi kode pada infrastruktur OKX.
Pembobolan Data Massal: Akses tidak sah ke volume data pengguna dalam jumlah besar melalui kelemahan aplikasi.
Pengambilalihan Privilese Admin: Mendapatkan akses administratif backend via vektor seluler.
Eksekusi Perintah Sistem: Menjalankan perintah sistem operasi pada server aplikasi.
Injeksi SQL/NoSQL: Memanfaatkan titik akhir API seluler untuk memanipulasi kueri database backend, sehingga menyebabkan eksfiltrasi/modifikasi massal atas data sensitif (PII, info keuangan, kredensial) atau pembobolan sistem backend.
Klien Desktop
Eksekusi Kode Jarak Jauh (RCE): Eksekusi kode arbitrer pada klien atau server yang terhubung melalui aplikasi desktop.
Kepemilikan Privilese Admin: Mendapatkan kontrol administratif backend melalui klien (misalnya, SSRF sisi server).
Eksekusi Perintah Sistem: Eksekusi perintah sistem operasi pada klien atau server backend via kesalahan konfigurasi atau penanganan input yang tidak aman.
Web3
Kriteria: Memengaruhi > 50% pengguna, waktu henti > 15 menit, atau potensi kerugian > $100 rb.
Eksploitasi jarak jauh pada validator/kontrak atau pengambilalihan admin.
Tinggi
Web2
Worm XSS Tersimpan: Pembuatan skrip lintas situs dengan replikasi mandiri di halaman berorientasi pengguna yang penting.
CSRF (Tindakan Kritis): CSRF yang mengarah pada pembobolan akun atau tindakan aset yang tidak sah.
Akses Akun Berskala Besar: Akses tidak sah ke beberapa akun pengguna karena kesalahan dalam autentikasi atau logika otorisasi.
Injeksi SQL (Terbatas): Mengekstraksi data sensitif tertentu
Kebocoran Kode Sumber: Eksposur backend atau kode sumber internal yang signifikan
SSRF (Dampak Kontekstual): SSRF yang mencapai layanan internal (keparahan SSRF bergantung pada dampak akses internal yang dicapai).
Seluler
CSRF (Tindakan Kritis): CSRF yang mengarah pada pembobolan akun atau tindakan aset yang tidak sah.
SSRF (Dampak Kontekstual): SSRF mengakses sistem atau layanan internal via titik akhir seluler.
Eksposur Data Sensitif: Kebocoran informasi terenkripsi atau sensitif yang disimpan atau diproses oleh aplikasi.
Gangguan Transaksi: Cacat aplikasi yang mengganggu trading, deposit, atau aliran penarikan.
Cacat Logika (Dampak Dana): Memanfaatkan logika aplikasi untuk memanipulasi saldo atau melakukan transaksi yang tidak sah.
Kebocoran Kode Sumber: Eksposur kode sumber aplikasi yang signifikan.
Operasi Tidak Sah: Membuat transaksi atau operasi keuangan yang tidak sah melalui eksploitasi aplikasi.
Klien Desktop
CSRF (Pengambilalihan Akun atau Transfer Dana): Permintaan klien palsu yang menghasilkan tindakan terautentikasi yang penting.
SSRF (Dampak Kontekstual): Permintaan palsu dari aplikasi ke layanan internal.
Eksposur Data Sensitif: Eksposur seed terenkripsi atau data sensitif lokal via fungsionalitas aplikasi.
Gangguan Transaksi: Bug sisi klien yang mencegah trading, deposit, atau penarikan yang valid.
Cacat Logika (Dampak Dana): Memanfaatkan logika sisi klien untuk memanipulasi saldo akun atau perilaku transfer.
Web3
Kriteria: Memengaruhi > 30% pengguna, waktu henti > 10 menit, atau potensi kerugian > $50 rb.
Masalah validator, cacat logika dana, atau kebocoran kode.
Sedang
Web2
XSS Tersimpan (Interaksi): Pembuatan skrip lintas situs persisten yang memerlukan interaksi pengguna agar terpicu.
CSRF (Bisnis Inti): CSRF menargetkan tindakan bisnis yang tidak penting.
Pemintasan Otorisasi (Terbatas): Akses tidak sah ke backend atau data pengguna tanpa dampak finansial.
Pengambilalihan Subdomain: Kontrol subdomain yang tidak digunakan dengan risiko reputasi atau phishing.
Cacat Kode Verifikasi: Cacat dalam logika verifikasi saat masuk atau mengatur ulang kata sandi.
Eksposur Data Sensitif: Pengungkapan data pengguna terenkripsi atau internal melalui antarmuka yang dapat diakses.
Kode Cleartext: Kredensial yang terpasang dalam kode sumber atau file konfigurasi yang di-hardcode, tidak termasuk kunci API.
Seluler
XSS Tersimpan (Interaksi): Pembuatan skrip lintas situs yang persisten di dalam komponen aplikasi seluler yang memerlukan interaksi pengguna.
CSRF (Bisnis Inti): Pemalsuan permintaan lintas situs yang menargetkan logika bisnis yang tidak penting.
Pemintasan Otorisasi (Terbatas): Akses tanpa izin ke data atau konfigurasi pengguna tanpa dampak finansial.
Kebocoran Penyimpanan Lokal: Pengungkapan data sensitif yang disimpan di aplikasi, seperti token sesi atau kredensial terenkripsi.
Cacat Verifikasi: Kelemahan dalam mekanisme OTP, masuk, atau pengaturan ulang karena validasi tidak memadai atau pembatasan tingkat.
Kredensial Cleartext: Rahasia yang di-hardcode dalam file aplikasi, tidak termasuk kunci API.
Klien Desktop
CSRF (Bisnis Inti): Memalsukan tindakan klien yang tidak sensitif, seperti perubahan pengaturan.
Pemintasan Otorisasi (Terbatas): Mendapatkan akses yang tidak sah ke konfigurasi level pengguna atau tampilan klien yang dibatasi.
Kebocoran Penyimpanan Lokal: Eksposur data yang dapat dieksploitasi yang disimpan oleh klien, seperti token sesi atau rahasia autentikasi, tanpa perlindungan atau kontrol akses yang memadai.
Kode Cleartext: Rahasia yang di-hardcode (tidak termasuk kunci API) yang disematkan ke dalam konfigurasi klien atau biner.
Web3
Kriteria: Memerlukan interaksi atau lingkup terbatas.
Eksploitasi wallet berbasis interaksi atau gangguan transaksi.
Rendah
Web2
XSS Tecermin: Pembuatan skrip lintas situs yang tidak persisten dalam URL atau parameter.
XSS DOM/Flash: Pembuatan skrip lintas situs di sisi klien tanpa interaksi backend.
Pengalihan Terbuka: Mengalihkan pengguna ke domain eksternal tanpa validasi.
Kebocoran Informasi Umum: Eksposur jalur internal, direktori, atau antarmuka debug.
CSRF Umum: CSRF menargetkan tindakan pengguna yang tidak sensitif.
Manipulasi Header HTTP: Mengubah header dengan dampak rendah, seperti perilaku cache atau pengalihan.
Seluler
Eksposur Komponen: Eksposur komponen aplikasi yang tidak diinginkan, seperti aktivitas Android atau layanan iOS yang diekspor.
Pengalihan Terbuka: Pengalihan yang tidak tervalidasi dalam alur aplikasi.
Masalah Header HTTP: Manipulasi header kecil dengan dampak yang tidak signifikan.
Klien Desktop
DoS lokal: Membobol aplikasi desktop melalui file atau input yang cacat.
Kesalahan Konfigurasi Kecil: Eksposur file sementara atau lokal tanpa data sensitif atau eksploitasi langsung.
Web3
Kriteria: Dampak atau eksploitasi minimal.
Masalah stabilitas node atau kebocoran kecil.
Panduan Tambahan
IDOR: Harus menunjukkan jalur penemuan ID, bukan hanya brute force.
Seluler: Laporkan satu kali per kerentanan pada platform (iOS/Android).
Duplikat: Masalah yang sama pada beberapa aset = satu laporan.
Positif palsu, dampak bisnis yang rendah, atau bug yang tidak dapat dieksploitasi tidak akan diberi reward, tetapi mungkin diakui.
Di Luar Lingkup
Laporan dari alat atau pemindai otomatis
Injeksi SQL positif palsu tanpa PoC yang berfungsi yang menunjukkan ekstraksi DB/nama pengguna
Spam kerentanan, spoofing email, bom surat, dll.
XSS mandiri
Penggunaan pustaka/komponen yang rentan dan tidak memiliki PoC yang berfungsi
Clickjacking pada halaman tanpa tindakan sensitif
Pemalsuan Permintaan Lintas Situs (CSRF) pada formulir yang tidak terautentikasi atau berdampak rendah
Serangan yang memerlukan MITM, root/jailbreak, atau akses langsung ke perangkat pengguna
Pustaka rentan yang diketahui sebelumnya tanpa PoC yang berfungsi
Injeksi CSV tanpa menunjukkan eksploitasi
Praktik terbaik SSL/TLS tidak ada (misalnya, cipher yang lemah, versi protokol)
Penolakan Layanan (DoS) atau percobaan gangguan layanan
Spoofing konten atau injeksi teks tanpa modifikasi HTML/CSS atau vektor serangan
Masalah pembatasan tingkat atau brute-force pada titik akhir non-autentikasi
Praktik terbaik Kebijakan Keamanan Konten tidak ada
Bendera cookie HttpOnly atau Secure tidak ada
Catatan SPF/DKIM/DMARC tidak ada atau tidak valid
Kerentanan yang hanya memengaruhi browser usang/tidak di-patch (lebih lama dari 2 versi stabil)
Pengungkapan versi perangkat lunak, info banner, jejak tumpukan, atau kesalahan verbose
0-day publik dengan patch yang dirilis kurang dari 1 bulan yang lalu (kasus per kasus)
Tabnabbing
Kerentanan yang memerlukan interaksi pengguna yang ekstensif
Kerentanan yang sudah diketahui oleh tim internal
Rekomendasi praktik terbaik (misalnya, saran pengamanan)
Kerentanan terkait Wordpress
Pembajakan DLL tanpa menunjukkan eskalasi privilese
Pemintasan batas tingkat hanya dengan mengubah alamat IP atau ID perangkat
Bar alamat, URL, atau spoofing domain di browser dalam aplikasi seluler (misalnya, dApp atau browser berbasis WebView)
Eksposur data sensitif pada media sosial
Pengambilalihan domain internal di luar okx.com, okg.com, atau oklink.com
Klien (desktop/seluler) tidak diunduh dari sumber resmi dalam lingkup
Proof of Reserves dilaporkan sebagai kebocoran “dokumen sensitif”
Laporan hanya didasarkan pada analisis statis dari biner tanpa PoC yang memengaruhi logika bisnis
Kurangnya pengaburan, perlindungan biner, atau deteksi jailbreak/root
Pemintasan penyematan sertifikat pada perangkat yang sudah di-root/di-jailbreak
Mitigasi eksploitasi tidak ada (misalnya, PIE, ARC, Stack Canaries)
Data sensitif di URL atau badan permintaan saat dilindungi oleh TLS
Pengungkapan jalur dalam biner
Rahasia aplikasi yang di-hardcode/dapat dipulihkan dalam IPA/APK tanpa dampak bisnis
Data sensitif yang disimpan di direktori aplikasi privat
Crash aplikasi karena skema URL atau komponen ekspor yang cacat
Eksploitasi waktu proses yang hanya mungkin terjadi di lingkungan yang sudah di-root/di-jailbreak (misalnya, via Frida)
Tautan yang dibagikan via papan klip yang bocor
Kebocoran URI akibat aplikasi berbahaya dengan izin
Eksposur kunci API tanpa dampak keamanan yang ditunjukkan (misalnya, kunci API Google Maps atau kunci yang ditemukan di repositori GitHub publik kami)
Layanan pihak ketiga (kecuali diizinkan secara eksplisit)
Layanan yang tidak dimiliki oleh OKX (misalnya, kerentanan penyedia cloud)
Aturan Umum
Jadilah orang pertama yang melaporkan kerentanan.
Berikan PoC yang jelas dengan langkah-langkah reproduksi.
Hindari pengujian yang memengaruhi akun pengguna sungguhan.
Jangan melakukan denial-of-service, spam, atau rekayasa sosial.
Jangan mencoba untuk mengakses atau mengubah data pengguna tanpa izin.
Penyelesaian Dispute
Untuk menyampaikan umpan balik terkait proses pelaporan, level risiko, dan pemeringkatan risiko, hubungi tim dukungan pelanggan kami untuk segera mendapatkan bantuan.