Tilbakemeldingstyper og nivåer

Publisert 4. aug. 2025Oppdatert 26. sep. 20259 minutter å lese

Etter at brukerne har sendt inn tilbakemelding, bør de vente på resultatene av vurderingen. Når brukerne godkjenner resultater fra vurderingen, vil de få belønningen for den tilsvarende nivået. Merk: dette belønningsprogrammet er kun tilgjengelig for brukere på hvitelisten.

Mal for innsending av sårbarheter

  1. Sårbarhetsforespørselpakke eller URL (tekst, ingen skjermbilder) eller operasjonstrinn (f.eks. Innstillinger -> Personlig informasjon -> Bilder som lastes opp.

  2. Smutthull payload.

  3. Bevis på sårbarhetsrisiko (rate gis i henhold til risikonivå).

Feil og forslag

Alvorlige feil (100 USDT)

  1. Kan ikke fullføre viktige funksjoner (f.eks. transaksjoner er ikke fullført, ordrer kan ikke legges).

  2. Feilen sprer seg og påvirker de normale operasjonene til andre viktige funksjoner.

  3. Appen krasjer, fryser og går i uendelige sløyfer på grunn av uvante operasjoner (f.eks. operasjoner som brukerne ikke vil utføre når de bruker programvaren).

  4. Feil som er uakseptable i utseende (f.eks. forvrengning, komprimering eller deformasjon av et bilde).

  5. Sikkerhetsproblemer som forårsaker datalekkasjer (f.eks. konto privat informasjonslekkasje forårsaket av ondsinnede angrep).

Generelle feil (30 USDT)

Defekter som ikke påvirker produktoperasjonene eller forårsaker feil, men har en ganske stor innvirkning på produktets utseende eller de neste prosessene.

  1. De sekundære funksjonene kan ikke utføres normalt.

  2. Grensesnittfeil (f.eks. Betydningene av kolonnenavn og beskrivelser i datavinduet er inkonsekvente.

  3. Forespørsel feil eller datapresentasjonsfeil.

  4. Enkle inngangsrestriksjoner er ikke plassert i front-end for kontroll; (f.eks. format visning av vurdering i innlogging og registrering skal være aktivert på front-end.

Vis feil (10 USDT)

Skjermene er ikke anstendige og følger ikke brukeradferd:

  1. Grensesnittet er ikke riktig utformet.

  2. Beskrivelsen eller instruksjonen for en bestemt funksjon er ikke klar.

Språk

Språkproblemer (10 USDT)

  1. Grammatikk i UI-kopien er feil.

  2. Feil bruk av tegnsetting.

  3. Slurfe.

  4. Forvirrende innhold.

Sikkerhetsfeil regler og berettigelse

Vårt bug bounty-program tilbyr fem sikkerhetsrisikonivåer, nemlig ekstrem, kritisk, høy, middels og lav. En hvit hatt vil bli belønnet med opptil 1.000.000 USDT for å insentivere hvite hatter til å hjelpe oss med å oppdage mulige sårbarheter. Med dette systemet håper vi å bygge et mer stabilt og pålitelig handelsmiljø for alle brukere.

Risikonivå

Sårbarheter klassifiseres i fem nivåer avhengig av mulige farer, nemlig ekstrem, kritisk, høy, middels og lav. OKX vil vurdere alvorlighetsgraden av en rapportert sårbarhet med følgende kriterier:

Ekstrem (bare Web3)

Kriterier: Påvirker alle brukere, >60 minutters nedetid, eller >$500K potensiell tap.

  • Null-interaksjonsmassakomprimering av midler/private nøkler eller storskalabrudd på data.

Kritisk

Web2

  • Fjernkodekjøring (RCE): Utføre vilkårlig kode på OKX-servere

  • SQL-injeksjon (Core DB): Store mengder dataoppslag/modifikasjon i OKX sin kjerneproduksjonsdatabase

  • Administrasjonsbakgrunnsovertakelse: Å skaffe seg kritiske administratorrettigheter

  • Massekontotaking: Systemisk overtaking av en stor del av brukerkontoene, vanligvis som påvirker >50% av brukerne

  • Systemkommandoeksekvering: Kjører OS-kommandoer på servere

Mobil

  • Fjernutnyttelser: Fjernkompromiss av appens integritet eller utførelse av kode på OKX-infrastruktur.

  • Masse datainnbrudd: Uautorisert tilgang til store mengder brukerdatas gjennom applikasjonsfeil.

  • Adminrettighetsovertakelse: Få tilgang til backend-administrative rettigheter via mobile vektorer.

  • Systemkommando Utførelse: Uføre operativsystemkommandoer på applikasjonsservere.

  • SQL/NoSQL-injeksjon: Utnyttelse av mobile API-endepunkter for å manipulere databaseforespørslene på backend, noe som fører til masseeksfiltrering/modifisering av sensitiv informasjon (personopplysninger, økonomisk informasjon, legitimasjon) eller kompromittering av backend-systemet.

Skrivebordsprogrammer

  • Fjernkodeutførelse (RCE): Utførelse av vilkårlig kode på klienten eller den tilkoblede serveren via skrivebordsapplikasjonen.

  • Admin privileges overtaking: Få backend administrativ kontroll gjennom klienten (f.eks. server-side SSRF).

  • Systemkommandoeksekvering: Utførelse av operativsystemkommandoer på klienten eller backend-serveren via feilkonfigurasjoner eller usikker inputhåndtering.

Web3

Kriterier: Påvirker >50% av brukerne, >15 minutters nedetid, eller >$100K potensiell tap.

  • Fjernutnyttelser på validatorer/kontrakter eller administrasjonsovertakelser.

Høy

Web2

  • Lagrte XSS-ormer: Selvreplikerende tverrsides skripting på kritiske brukerorienterte sider.

  • CSRF (Kritiske handlinger): CSRF som fører til kontokompromittering eller uautoriserte eiendelshandlinger.

  • Kontoadgang i stor skala: Uautorisert tilgang til flere brukerkontoer på grunn av feil i autentisering eller autorisasjonslogikk.

  • SQL-injeksjon (begrenset): Utr tapping av spesifikke sensitive data

  • Kildekodelekkasje: Eksponering av betydelig backend- eller intern kildekode

  • SSRF (Konseptuell påvirkning): SSRF som når interne tjenester (SSRF-tyngde er avhengig av påvirkningen av den interne tilgangen som oppnås.)

Mobil

  • CSRF (Kritiske handlinger): CSRF som fører til kontokompromittering eller uautoriserte eiendelshandlinger.

  • SSRF (Konseptuell påvirkning): SSRF som får tilgang til interne systemer eller tjenester via mobile sluttpunkter.

  • Sensitive dataeksponering: Lekking av kryptert eller sensitiv informasjon lagret eller behandlet av appen.

  • Transaksjonsforstyrrelser: Applikasjonsfeil som forstyrrer handels-, innskudds- eller uttaksflyt.

  • Logiske feil (påvirkning på fond): Utnytte applikasjonslogikk for å manipulere balanser eller utføre uautoriserte transaksjoner.

  • Kildekodelekkasje: Eksponering av betydelig applikasjonskildekode.

  • Uautorisert drift: Utførelse av uautoriserte transaksjoner eller finansielle operasjoner gjennom app-utnyttelser.

Skrivebordsprogrammer

  • CSRF (Kontotaking eller pengeoverføringer): Falsifiserte klientforespørsel som resulterer i kritiske autentiserte handlinger.

  • SSRF (Konsekvensmessig påvirkning): Forfalskede forespørselen fra appen til interne tjenester.

  • Sensitiv dataeksponering: Eksponering av krypterte frø eller lokal sensitiv data via app-funksjonalitet.

  • Transaksjonsforstyrrelser: Klientsidefeil som hindrer gyldig trading, innskudd eller uttak.

  • Logiske feil (Fund Impact): Utnytte klientside-logikk for å manipulere konto-balanser eller overføringsatferd.

Web3

Kriterier: Påvirker >30% av brukerne, >10 minutters nedetid, eller >$50K potensiell tap.

  • Validator problemer, fondslogikkfeil, eller kodelekker.

Medium

Web2

  • Lagring av XSS (Interaksjon): Vedvarende tverrsiteskript som krever brukerinteraksjon for å utløse.

  • CSRF (Kjernevirksomhet): CSRF som retter seg mot ikke-kritiske forretningshandlinger.

  • Autorisasjonsomgåelse (Begrenset): Uautorisert tilgang til backend eller brukerdata uten økonomisk påvirkning.

  • Underdomeneovertakelse: Kontroll over ubrukte underdomener med omdømme- eller phishingrisiko.

  • Verifikasjonskodefeil: Sårbarheter i innlogging eller tilbakestilling av passordverifikasjonslogikk.

  • Sensitiv dataeksponering: Avsløring av kryptert eller intern userdata gjennom tilgjengelige grensesnitt.

  • Klartekst legitimasjon: Hardkodede legitimasjoner i kildekode eller konfigurasjonsfiler, unntatt API-nøkler.

Mobil

  • Lagratt XSS (Interaksjon): Vedvarende tverrside-skriptgjøring innen mobilapp-komponenter som krever brukerinteraksjon.

  • CSRF (Kjernevirksomhet): Tverrside forespørsel forgiftning som retter seg mot ikke-kritisk forretningslogikk.

  • Autorisasjonsomgåelse (Begrenset): Uautorisert tilgang til brukerdata eller konfigurasjoner uten økonomisk påvirkning.

  • Lokal lagringslekkasjer: Avsløring av sensitive data lagret i applikasjonen, som sesjonstokener eller krypterte legitimasjoner.

  • Verifikasjonsfeil: Sårbarheter i OTP, pålogging eller tilbakestillingsmekanismer på grunn av utilstrekkelig validering eller hastighetsbegrensning.

  • Klart tekstlegitimasjon: Hardkodede hemmeligheter i appfiler, unntatt API-nøkler.

Skrivebordsprogrammer

  • CSRF (Kjernedrift): Smiing av ikke-sensitive kundehandlinger, som endringer av innstillinger.

  • Autorisering Bypass (Begrenset): Får uautorisert tilgang til bruker-nivå konfigurasjoner eller begrensede klientvisninger.

  • Lokal lagringslekkasjer: Eksponering av utnyttbare data lagret av klienten, som sesjonsnøkler eller autentiseringshemmeligheter, uten tilstrekkelig beskyttelse eller tilgangskontroll.

  • Klartekst legitimasjon: Hardkodede hemmeligheter (unntatt API-nøkler) innebygd i klientkonfigurasjoner eller binærfiler.

Web3

Kriterier: Krever interaksjon eller begrenset omfang.

  • Interaksjonsbaserte lommeboksutnyttelser eller transaksjonsforstyrrelser.

Lav

Web2

  • Reflektert XSS: Ikke-persistent tverrside skripting i URL-er eller parametere.

  • DOM/Flash XSS: Klientside tverrside skripting uten backend-interaksjon.

  • Åpne omdirigeringer: Omdirigere brukere til eksterne domener uten validering.

  • Generell informasjon om lekkasjer: Eksponering av interne stier, kataloger eller feilsøkingsgrensesnitt.

  • Vanlig CSRF: CSRF som retter seg mot ikke-sensitive brukerhandlinger.

  • HTTP-headermanipulering: Endre overskrifter med lav påvirkning, som cache-adferd eller omdirigeringer.

Mobil

  • Komponenteksponering: Utilsiktet eksponering av app-komponenter, som eksporterte Android-aktiviteter eller iOS-tjenester.

  • Åpne omdirigeringer: Uvaliderte omdirigeringer i appflyter.

  • HTTP-headerproblemer: Mindre endring av header med ubetydelig påvirkning.

Skrivebordsprogrammer

  • Lokal DoS: Å krasje skrivebordsappen via feilformatert filer eller inndata.

  • Mindre feilkonfigurasjoner: Eksponering av midlertidige eller lokale filer uten sensitiv data eller direkte utnyttbarhet.

Web3

Kriterier: Minimal innvirkning eller utnyttelse.

  • Node stabilitetsproblemer eller mindre lekkasjer.

Ytterligere retningslinjer

  • IDOR: Må demonstrere ID-opplevingsvei, ikke bare bruteforce.

  • Mobil: Rapportér én gang per sårbarhet på tvers av plattformer (iOS/Android).

  • Duplikater: Samme problem i flere eiendeler = én rapport.

  • Falske positiver, lav forretningspåvirkning eller ikke-utnyttbare feil vil ikke bli belønnet, men kan bli anerkjent.

Utenfor omfang

  • Rapporter fra automatiserte verktøy eller skannere

  • Feil positiv SQL-injeksjon uten en fungerende PoC som viser uthenting av DB/brukenavn

  • Spam sårbarheter, e-post forfalskning, e-postbombe, osv.

  • Self-XSS

  • Bruk av kjente sårbare biblioteker/komponenter uten en fungerende PoC

  • Klikkjaking på sider uten sensitive handlinger

  • Cross-Site Request Forgery (CSRF) på uautentiserte eller lavpåvirkende skjemaer

  • Angrep som krever MITM, root/jailbreak eller fysisk tilgang til en brukers enhet

  • Tidligere kjente sårbare biblioteker uten en fungerende PoC

  • CSV-injeksjon uten å demonstrere utnyttelse

  • Mangler beste praksis for SSL/TLS (f.eks. svake krypteringer, protokollversjoner)

  • Tjenestenekt (DoS) eller forsøk på tjenesteavbrudd

  • Innholdsspoofing eller tekstinnsprøytning uten HTML/CSS-modifikasjon eller angrepsvektor

  • Rate limiting eller brute-force problemer på endepunkter uten autentisering

  • Manglende beste praksiser for innholdssikkerhetspolicy

  • Mangler HttpOnly eller Secure cookie-flagg

  • Manglende eller ugyldige SPF/DKIM/DMARC-poster

  • Sårbarheter som kun påvirker utdaterte/ikke oppdaterte nettlesere (eldre enn 2 stabile versjoner)

  • Programvareversjonsinformasjon, bannerinfo, stakkspor, eller detaljerte feil

  • Offentlige 0-dagers med oppdateringer utgitt for mindre enn 1 måned siden (sak for sak)

  • Tabnabbing

  • Sårbarheter som krever usannsynlig brukerinteraksjon

  • Sårbarheter som allerede er kjent for interne team

  • Anbefalinger for beste praksis (f.eks. herdingsforslag

  • WordPress-relaterte sårbarheter

  • DLL hijacking uten å demonstrere privilegert heving

  • Bypassing ratebegrensning ved å bare endre IP-adresse eller enhets-ID

  • Adressefelt, URL eller domeneforfalskning i mobile in-app nettlesere (f.eks. dApp eller WebView-baserte nettlesere)

  • Eksponering av sensitive data på sosiale medier

  • Interne domenetakover utenfor okx.com, okg.com eller oklink.com

  • Kunder (desktop/mobil) som ikke er lastet ned fra offisielle kilder innenfor området

  • Bevis på reserver som rapporteres som "sensitivt dokument" lekkasje

  • Rapporter som kun er basert på statisk analyse av binærfiler uten PoC som påvirker forretningslogikken

  • Manglende obfuskasjon, binærbeskyttelse eller jailbreak/root-deteksjon

  • Sertifikatspinning omgåelse på rotede/jailbreakede enheter

  • Manglende utnyttelsesbegrensninger (f.eks. PIE, ARC, Stack Canaries)

  • Sensitive data i URL-er eller forespørselkropper når de er beskyttet av TLS

  • Stiavsløring i binærfiler

  • Hardcodede/gjenopprettbare app-hemmeligheter i IPA/APK uten forretningspåvirkning

  • Sensitiv informasjon lagret i privat app-katalog

  • Appen krasjer på grunn av feilaktige URL-skjemaer eller eksporterte komponenter

  • Kjøretidsutnyttelser som kun er mulige i et rotet/jailbreaket miljø (f.eks. via Frida)

  • Lekkasjer delte lenker via utklippstavlen

  • URI-lekkasje forårsaket av ondsinnede apper med tillatelser

  • Eksponering av API-nøkler uten påvist sikkerhetspåvirkning (f.eks. Google Maps API-nøkler eller nøkler funnet i våre offentlige GitHub-repositorier)

  • Tjenester fra tredjeparter (med mindre det er eksplisitt tillatt)

  • Tjenester som ikke eies av OKX (f.eks. sårbarheter hos skyleverandører)

Generelle regler

  • Vær den første til å rapportere sårbarheten.

  • Gi en klar PoC med reproduksjonstrinn.

  • Unngå testing som påvirker virkelige brukerkontoer.

  • Ikke utfør denial-of-service, spam eller sosiale ingeniørtriks.

  • Ikke prøv å få tilgang til eller endre brukerdata uten tillatelse.

Tvisteløsning

Hvis du har noen tilbakemeldinger om rapporteringsprosessen, risikonivåene og risikovurderingen, kan du kontakte vårt kundestøtteteam for umiddelbar hjelp.