Livelli e tipi di feedback

Data di pubblicazione: 4 ago 2025Data di aggiornamento: 26 set 202511 minuti di lettura

Dopo che l'utente ha inviato un feedback, dovrebbe attendere i risultati dell'analisi. Quando l'utente approva i risultati dell'analisi, riceverà la ricompensa per il livello corrispondente. Nota: questo programma di ricompense è disponibile solo per gli utenti nella whitelist.

Modello di invio delle vulnerabilità

  1. Pacchetto delle richieste di vulnerabilità o (test, non screenshot) o passaggi operativi Impostazioni -> Informazioni personali -> Problema di caricamento dell'immagine).

  2. Scappatoia payload.

  3. Prova del rischio di vulnerabilità (la classificazione è fornita in base al livello di rischio).

Difetti e suggerimenti

Errori gravi (100 USDT)

  1. Non è possibile completare funzioni importanti (ad es. le transazioni non vengono completate, non è possibile effettuare gli ordini).

  2. L'errore si diffonde e influisce sulle normali operazioni di altre importanti funzioni.

  3. L'app si arresta in modo anomalo, si blocca e si verificano loop infiniti causati da operazioni non convenzionali (ad es. operazioni che gli utenti non eseguirebbero mentre utilizzano il software).

  4. Difetti inaccettabili legati all'aspetto (ad es. distorsione, compressione o deformazione di un'immagine).

  5. Problemi legati alla sicurezza che causano la perdita di dati (ad es. perdita di informazioni private del conto causata da attacchi dannosi).

Errori generali (30 USDT)

Difetti che non influiscono sulle operazioni del prodotto o che non causano errori, ma hanno un impatto piuttosto importante sull'aspetto del prodotto o sui processi successivi.

  1. Non è possibile eseguire normalmente le funzioni secondarie.

  2. Errori dell'interfaccia (ad es. i significati dei nomi delle colonne e delle descrizioni nella finestra dei dati non sono coerenti).

  3. Errore nella richiesta o nella visualizzazione dei dati.

  4. Le semplici restrizioni di inserimento non sono poste nel front-end per il controllo (ad es. nel front-end dovrebbe essere abilitato il giudizio sulla visualizzazione del formato nell'accesso e nella registrazione).

Errori di visualizzazione (10 USDT)

Le visualizzazioni non sono soddisfacenti né conformi al comportamento dell'utente:

  1. L'interfaccia non è stata progettata correttamente.

  2. La descrizione o l'istruzione per una particolare funzione non è chiara.

Lingua

Problemi con la lingua (10 USDT)

  1. La grammatica del testo dell'interfaccia utente non è corretta

  2. Utilizzo errato della punteggiatura.

  3. Errore di battitura.

  4. Contenuti poco chiari.

Regole per i bug di sicurezza e idoneità

Il nostro programma di bug bounty offre cinque livelli di rischio per la sicurezza, ovvero estremo, critico, alto, medio e basso. Assegneremo fino a di 1.000.000 USDT ai white hat in modo da incentivarli ad aiutarci a scoprire possibili vulnerabilità. Con questo sistema, speriamo di sviluppare un ambiente di trading più stabile e affidabile per tutti gli utenti.

Livello di rischio

Le vulnerabilità sono classificate in cinque livelli a seconda dei possibili pericoli, ovvero estremo, critico, alto, medio e basso. OKX valuterà la gravità di una vulnerabilità segnalata in base ai seguenti criteri:

Estremo (solo Web3)

Criteri: riguarda tutti gli utenti, > 60 minuti di inattività o > 500.000 $ di potenziale perdita.

  • Compromissione di massa senza interazioni di fondi/chiavi private o violazioni di dati su larga scala.

Critico

Web2

  • Esecuzione del codice remoto (RCE): esecuzione del codice arbitrario sui server OKX

  • SQL Injection (Core DB): accesso/modifica di dati su larga scala nel database di produzione principale di OKX

  • Acquisizione backend amministratore: ottenere privilegi amministratore fondamentali

  • Acquisizione di massa del conto: acquisizione sistematica di una grande porzione di conti degli utenti, in genere che colpisce >50% degli utenti

  • Esecuzione dei comandi di sistema: esecuzione dei comandi OS sui server

Dispositivo mobile

  • Exploit da remoto: compromissione da remoto dell'integrità dell'app o dell'esecuzione del codice sull'infrastruttura OKX.

  • Violazione di dati di massa: accesso non autorizzato a grandi volumi di dati degli utenti tramite difetti applicativi.

  • Acquisizione del privilegio amministratore: ottenimento dell'accesso amministrativo al back-end tramite vettori mobili.

  • Esecuzione dei comandi di sistema: esecuzione dei comandi del sistema operativo sui server delle applicazioni.

  • SQL/NoSQL Injection: sfruttando gli endpoint API per dispositivi mobili per manipolare le query di database di back-end, portando all'esfiltrazione/modifica in massa di dati sensibili (PII, informazioni finanziarie, credenziali) o alla compromissione del sistema di back-end.

Client desktop

  • Esecuzione di codice remoto (RCE): esecuzione di codice arbitrario sul client o sul server connesso tramite l'applicazione desktop.

  • Acquisizione del privilegio amministratore: ottenere il controllo amministrativo del back-end tramite il client (ad es., SSRF lato server).

  • Esecuzione dei comandi di sistema: esecuzione di comandi del sistema operativo sul client o sul server back-end tramite errori di configurazione o gestione dell'input non sicura.

Web3

Criteri: influisce su >50% degli utenti, >15 minuti di inattività o >100.000 $ di potenziali perdite.

  • Exploit remoti su validatori/contratti o acquisizioni di amministratori.

Alto

Web2

  • Worm di XSS archiviati: scripting inter-site auto-replicato su pagine critiche rivolte agli utenti.

  • CSRF (Azioni critiche): CSRF che porta a compromissione del conto o ad azioni non autorizzate sugli asset.

  • Accesso al conto su scala: accesso non autorizzato a più conti utente a causa di difetti nella logica di autenticazione o autorizzazione.

  • SQL Injection (limitata): estrazione di dati sensibili specifici

  • Leak del codice sorgente: esposizione di backend significativi o codice sorgente interno

  • SSRF (Impatto contestuale): SSRF che raggiunge i servizi interni (la gravità dell'SSRF dipende dall'impatto dell'accesso interno raggiunto).

Dispositivo mobile

  • CSRF (Azioni critiche): CSRF che porta a compromissione del conto o ad azioni non autorizzate sugli asset.

  • SSRF (Impatto contestuale): SSRF che accede a sistemi o servizi interni tramite endpoint mobili.

  • Esposizione di dati sensibili: fuga di informazioni crittografate o sensibili memorizzate o elaborate dall'app.

  • Interruzioni delle transazioni: difetti dell'applicazione che interferiscono con il trading, i flussi di deposito o di prelievo.

  • Errori logici (Impatto sui fondi): sfruttare la logica dell'applicazione per manipolare i saldi o eseguire transazioni non autorizzate.

  • Perdita di codice sorgente: esposizione di un codice sorgente di applicazione significativo.

  • Operazioni non autorizzate: eseguire transazioni od operazioni finanziarie non autorizzate tramite exploit dell'app.

Client desktop

  • CSRF (Acquisizione del conto o trasferimenti di fondi): richieste di client contraffatte che comportano azioni autenticate critiche.

  • SSRF (Impatto contestuale): richieste false dall'app ai servizi interni.

  • Esposizione di dati sensibili: esposizione di seed crittografati o dati sensibili locali tramite funzionalità dell'app.

  • Interruzioni delle transazioni: bug del lato del cliente che impediscono di effettuare operazioni di trading, depositi o prelievi validi.

  • Errori logici (Impatto sui fondi): sfruttare la logica del lato client per manipolare i saldi dei conti o i trasferimenti.

Web3

Criteri: influisce su >30% degli utenti, >10 minuti di inattività o >50.000 $ di potenziali perdite.

  • Problemi con i validatori, difetti logici di finanziamento o fughe di codice.

Medio

Web2

  • Stored XSS (Interaction): scripting cross-site costante che richiede l'interazione dell'utente per attivarsi.

  • CSRF (Core Business): CSRF che mira ad azioni commerciali non critiche.

  • Bypass di autenticazione (limitato): accesso non autorizzato ai dati dell'utente o del back-end senza impatto finanziario.

  • Acquisizione di sottodomini: controllo di sottodomini inutilizzati con rischio di phishishing o danni reputazionali.

  • Difetti nel codice di verifica: debolezze nella logica di verifica per il login o il ripristino della password.

  • Esposizione di dati sensibili: divulgazione di dati degli utenti crittografati o interni attraverso interfacce accessibili.

  • Credenziali in cleartext: credenziali hardcoded nei file di configurazione o nel codice sorgente, a esclusione delle chiavi API.

Dispositivo mobile

  • Stored XSS (Interaction): scripting cross-site costante nei componenti dell'app mobile che richiede l'interazione dell'utente.

  • CSRF (Core Business): cross-site request forgery che prende di mira la logica aziendale non critica.

  • Bypass autenticazione (limitato): accesso non autorizzato ai dati o alle configurazioni degli utenti senza impatto finanziario.

  • Leak di archiviazione locale: divulgazione di dati sensibili archiviati dall'app, come token di sessione o credenziali crittografate.

  • Difetti nella verifica: debolezze in OTP, accesso o meccanismi di ripristino dovuti a convalide insufficienti o rate limiting.

  • Credenziali in cleartext: segreti hardcoded nei file dell'app, a esclusione delle chiavi API.

Client desktop

  • CSRF (Core Business): contraffazione di azioni non sensibili del client, come modifiche delle impostazioni.

  • Bypass autenticazione (limitato): accesso non autorizzato alle configurazioni a livello utente o alle visualizzazioni limitate dei clienti.

  • Leak di archiviazione locale: esposizione di dati sfruttabili memorizzati dal cliente, come token di sessione o segreti di autenticazione, senza una protezione o un controllo di accesso adeguati.

  • Credenziali in cleartext: segreti hardcorded (a esclusione delle chiavi API) incorporati nelle configurazioni o nei binari dei client.

Web3

Criteri: richiede interazione o ambito limitato.

  • Esploit di portafogli basati sull'interazione o interruzioni delle transazioni.

Basso

Web2

  • XSS riflesso: scripting cross-site non persistente in URL o parametri.

  • DOM/Flash XSS: scripting cross-site lato client senza interazione back-end.

  • Reindirizzamenti aperti: reindirizzamento degli utenti a domini esterni senza convalida.

  • Divulgazione di informazioni generali: esposizione di percorsi interni, directory o interfacce di debug.

  • CSRF comuni: CSRF che prendono di mira azioni utente non sensibili.

  • Manipolazione dell'intestazione HTTP: modifica delle intestazioni con basso impatto, come ad esempio il comportamento della cache o i reindirizzamenti.

Dispositivo mobile

  • Esposizione dei componenti: esposizione involontaria dei componenti dell'app, come le attività esportate per Android o i servizi iOS.

  • Reindirizzamenti aperti: reindirizzamenti non convalidati nei flussi dell'app.

  • Problemi di intestazione HTTP: manipolazione minore dell'intestazione con un impatto trascurabile.

Client desktop

  • DoS locale: crash dell'app desktop tramite file o input non corretti.

  • Errori di configurazione minori: esposizione di file temporanei o locali senza dati sensibili o sfruttabilità diretta.

Web3

Criteri: impatto minimo o sfruttabilità.

  • Problemi di stabilità dei nodi o leak minori.

Linee guida aggiuntive

  • IDOR: deve dimostrare il percorso di individuazione del documento d'identità, non solo la forza bruta.

  • Dispositivo mobile: segnalare la vulnerabilità un'unica volta per tutte le piattaforme (iOS/Android).

  • Duplicazioni: stesso problema per più asset = un report.

  • I falsi positivi, il basso impatto commerciale o i bug non sfruttabili non saranno ricompensati, ma potrebbero essere riconosciuti.

Non pertinenti

  • Report creati tramite strumenti o scanner automatici

  • SQL Injection falsi positivi senza un PoC funzionante che dimostra l'estrazione del nome utente/della banca dati

  • Vulnerabilità legata allo spam, spoofing dell'e-mail, numero elevato di e-mail, ecc.

  • Self-XSS

  • Utilizzo di librerie/componenti vulnerabili noti senza un PoC funzionante

  • Clickjacking su pagine senza azioni sensibili

  • Cross-Site Request Forgery (CSRF) su moduli non autenticati o a basso impatto

  • Attacchi che richiedono MITM o un accesso fisico al dispositivo dell'utente

  • Librerie con vulnerabilità già note senza un PoC funzionante

  • Inserimento di CSV senza dimostrare uno sfruttamento

  • Best practice SSL/TLS mancanti (ad es. codici deboli, versioni del protocollo)

  • Denial of Service (DoS) o tentativi di interruzione del servizio

  • Spoofing di contenuti o inserimento di testo senza modifica di HTML/CSS o vettore di attacco

  • Problemi relativi alla limitazione della velocità e alla forza bruta per endpoint non autenticati

  • Best practices mancanti per la politica di sicurezza dei contenuti

  • Segnalazione di HttpOnly o Secure cookie

  • Record SPF/DKIM/DMARC mancanti o non validi

  • Vulnerabilità che colpiscono solo browser obsoleti/senza patch (risalenti a più di 2 versioni stabili)

  • Divulgazione della versione del software, informazioni sul banner, indicazioni dello stack o errori verbosi

  • 0-day pubblici con patch rilasciate meno di 1 mese prima (caso per caso)

  • Tabnabbing

  • Vulnerabilità che richiedono una massiccia interazione da parte dell'utente

  • Vulnerabilità già note dai team interni

  • Suggerimenti sulle best practice (ad es. suggerimenti per l'hardening)

  • Vulnerabilità relative a WordPress

  • Rimozione di DLL senza dimostrare la privilege escalation

  • Bypass del limite cambiando l'indirizzo IP o l'ID del dispositivo

  • Barre indirizzo, URL o spoofing del dominio all'interno di browser all'interno dell'app mobile (ad es., dApp o browser basati su WebView)

  • Esposizione di dati sensibili sui social media

  • Acquisizioni di domini interni al di fuori di okx.com, okg.com o oklink.com

  • Clienti (del desktop/mobile) non scaricati da fonti ufficiali nell'ambito

  • Proof of Reserves segnalato come "documento sensibile"

  • Report basati solo sull'analisi statica dei binari senza che il PoC influisca sulla logica aziendale

  • Rilevamento dell'offuscamento, della protezione binaria, del processo di rooting (jailbreak) non presente

  • Aggiustamento del certificato sui dispositivi sottoposti a root/jailbreak

  • Mitigazioni degli exploit mancanti (ad es., PIE, ARC, Stack Canaries)

  • Dati sensibili presenti negli URL e nei testi delle richieste quando sono protetti da TLS

  • Divulgazione del percorso in linguaggio binario

  • Segreti dell'app Hardcoded/recuperabile in IPA/APK senza impatto commerciale

  • Dati sensibili memorizzati nella directory dell'app privata

  • L'app si arresta a causa di schemi URL non corretti o componenti esportati

  • Sfruttamento del runtime possibili solo in un ambiente sottoposto a root/jailbreak (ad es., tramite Frida)

  • Link condivisi filtrati tramite clipboard

  • Perdite di URI causate da app dannose con autorizzazioni

  • Esposizione di chiavi API senza un impatto sulla sicurezza dimostrato (ad esempio, chiavi API o chiavi Google Maps trovate nei nostri repository pubblici di GitHub)

  • Servizi di terze parti (salvo esplicite autorizzazioni)

  • Servizi non di proprietà di OKX (ad es., vulnerabilità del fornitore di cloud)

Regole generali

  • Segnala le vulnerabilità prima deglialtri.

  • Fornisci un PoC chiaro con i passaggi di riproduzione.

  • Evita di eseguire test con i conti degli utenti reali.

  • Non eseguire denial of service, spam o ingegneria sociale.

  • Non tentare di accedere o modificare i dati degli utenti senza autorizzazione.

Risoluzione delle dispute

Se vuoi condividere la tua opinione in merito al processo di segnalazione, ai livelli e alla classificazione del rischio, contatta la nostra assistenza clienti per ricevere immediatamente aiuto.