Soorten feedback en niveaus

Gepubliceerd op 4 aug 2025Geüpdatet op 26 sep 202511 min. leestijd

Nadat gebruikers feedback hebben ingediend, moeten ze wachten op de beoordelingsresultaten. Wanneer gebruikers de beoordelingsresultaten goedkeuren, ontvangen ze de beloning voor het bijbehorende niveau. Opmerking: dit beloningsprogramma is alleen beschikbaar voor gebruikers op de whitelist.

Indieningssjabloon voor kwetsbaarheden

  1. Verzoekpakket of URL van de kwetsbaarheid (in tekstformaat, geen schermafbeeldingen) of de stappen om het probleem te reproduceren (bv. Instellingen -> Persoonlijke Informatie -> Probleem met uploaden afbeelding).

  2. Payload die de kwetsbaarheid aantoont.

  3. Bewijs van de impact van de kwetsbaarheid (de classificatie wordt bepaald op basis van het risiconiveau).

Fouten en suggesties

Ernstige fouten (100 USDT)

  1. Belangrijke functies kunnen niet worden voltooid (bv. transacties worden niet voltooid, orders kunnen niet worden geplaatst).

  2. De fout verspreidt zich en beïnvloedt de normale werking van andere belangrijke functies.

  3. De app crasht, loopt vast of komt in een oneindige lus terecht door ongebruikelijke handelingen (bv. handelingen die een gebruiker normaal gesproken niet zou uitvoeren).

  4. Visueel onacceptabele fouten (bv. vervorming, compressie of misvorming van een afbeelding).

  5. Beveiligingsproblemen die leiden tot datalekken (bv. het lekken van privégegevens van een account door kwaadaardige aanvallen).

Algemene fouten (30 USDT)

Defecten die geen invloed hebben op de productactiviteiten of fouten veroorzaken, maar een vrij grote invloed hebben op het uiterlijk van het product of vervolgprocessen.

  1. De secundaire functies kunnen niet normaal worden uitgevoerd.

  2. Interfacefouten (bv. de kolomnamen en beschrijvingen in het datavenster zijn inconsistent).

  3. Fout bij het opvragen of weergeven van gegevens.

  4. Eenvoudige invoerbeperkingen worden niet aan de front-end gecontroleerd (bv. de controle op het format bij inloggen en registreren moet aan de front-end plaatsvinden).

Weergavefouten (10 USDT)

De weergave is niet correct en sluit niet aan bij het gedrag van de gebruiker:

  1. De interface is niet goed ontworpen.

  2. De beschrijving of instructie voor een bepaalde functie is niet duidelijk.

Taal

Taalproblemen (10 USDT)

  1. De grammatica in de UI-tekst is onjuist.

  2. Onjuist gebruik van leestekens.

  3. Typfouten.

  4. Verwarrende inhoud.

Regels en voorwaarden voor beveiligingskwetsbaarheden

Ons bug-bountyprogramma kent vijf risiconiveaus: extreem, kritiek, hoog, gemiddeld en laag. Een ethische hacker kan maximaal 1.000.000 USDT ontvangen als beloning voor het melden van kwetsbaarheden. Met dit systeem bouwen we samen aan een stabielere en betrouwbaardere handelsomgeving voor alle gebruikers.

Risiconiveau

Kwetsbaarheden worden ingedeeld in vijf niveaus, afhankelijk van de mogelijke impact, namelijk extreem, kritiek, hoog, gemiddeld en laag. OKX beoordeelt de ernst van een gemelde kwetsbaarheid aan de hand van de volgende criteria:

Extreem (alleen Web3)

Criteria: treft alle gebruikers, veroorzaakt meer dan 60 minuten downtime of kan leiden tot een financieel verlies van meer dan $ 500.000.

  • Geautomatiseerde aanvallen zonder interactie die massaal geld of private keys compromitteren, of grootschalige datalekken.

Kritiek

Web2

  • Remote Code Execution (RCE): uitvoeren van willekeurige code op OKX-servers

  • SQL-injectie (kerndatabase): grootschalige toegang of wijziging van data in de productieomgeving van OKX

  • Overname van beheerdersbackend: verkrijgen van kritieke beheerrechten

  • Massale accountovername: systematische overname van meer dan 50% van de gebruikersaccounts.

  • Uitvoeren van systeemcommando's: uitvoeren van besturingssysteemcommando's op servers

Mobiel

  • Remote exploits: op afstand de integriteit van de app compromitteren of code uitvoeren binnen OKX-infrastructuur.

  • Massaal datalek: ongeautoriseerde toegang tot grote hoeveelheden gebruikersdata.

  • Overname van beheerdersrechten: backendtoegang via mobiele vectoren.

  • Uitvoeren van systeemcommando's: uitvoeren van besturingssysteemcommando's op servers via de app.

  • SQL/NoSQL-injectie: misbruiken van mobiele API-endpoints om databasequery's op de backend te manipuleren, wat leidt tot massale exfiltratie of wijziging van gevoelige data (persoonsgegevens, financiële informatie, inloggegevens) of het compromitteren van het backendsysteem.

Desktopclients

  • Remote Code Execution (RCE): uitvoeren van willekeurige code op de client of verbonden server via de desktopapplicatie.

  • Overname van beheerdersrechten: backendtoegang via de client, bijvoorbeeld via server-side SSRF.

  • Uitvoeren van commando's: uitvoeren van besturingssysteemcommando's op de client of backendserver via foutieve configuraties of onveilige inputverwerking.

Web3

Criteria: treft >50% van de gebruikers, veroorzaakt meer dan 15 minuten downtime of kan leiden tot een financieel verlies van meer dan $ 100.000.

  • Remote exploits op validators/contracten, of overname van beheerdersrechten.

Hoog

Web2

  • Stored XSS Worms: zichzelf replicerende cross-site scripting op kritieke, gebruikersgerichte pagina's.

  • CSRF (kritieke acties): CSRF die leidt tot het compromitteren van een account of ongeautoriseerde handelingen met tegoeden.

  • Grootschalige accounttoegang: ongeautoriseerde toegang tot meerdere gebruikersaccounts door fouten in de authenticatie- of autorisatielogica.

  • SQL-injectie (beperkt): extraheren van specifieke gevoelige gegevens

  • Lekken van broncode: blootstellen van significante backend- of interne broncode.

  • SSRF (afhankelijk van impact): SSRF die interne services bereikt. De ernst van SSRF hangt af van de impact van de verkregen interne toegang.

Mobiel

  • CSRF (kritieke acties): CSRF die leidt tot het compromitteren van een account of ongeautoriseerde handelingen met tegoeden.

  • SSRF (afhankelijk van impact): SSRF die via mobiele endpoints toegang krijgt tot interne systemen of services.

  • Blootstelling van gevoelige data: lekken van versleutelde of gevoelige informatie die door de app wordt opgeslagen of verwerkt.

  • Verstoring van transacties: fouten in de applicatie die de verwerking van transacties, stortingen of opnames verstoren.

  • Logische fouten (met financiële impact): misbruik van applicatielogica om saldi te manipuleren of ongeautoriseerde transacties uit te voeren.

  • Lekken van broncode: blootstellen van significante broncode van de applicatie.

  • Ongeautoriseerde handelingen: het uitvoeren van ongeautoriseerde transacties of financiële handelingen via exploits in de app.

Desktopclients

  • CSRF (accountovername of transacties): vervalste client-requests die leiden tot kritieke, geauthenticeerde acties.

  • SSRF (afhankelijk van impact): vervalste verzoeken van de app naar interne services.

  • Blootstelling van gevoelige data: blootstelling van versleutelde seeds of lokaal opgeslagen gevoelige data via de app-functionaliteit.

  • Verstoring van transacties: client-side bugs die correcte transacties, stortingen of opnames verhinderen.

  • Logische fouten (met financiële impact): misbruik van client-side logica om rekeningsaldi of transactiegedrag te manipuleren.

Web3

Criteria: treft >30% van de gebruikers, veroorzaakt meer dan 10 minuten downtime of kan leiden tot een financieel verlies van meer dan $ 50.000.

  • Problemen met validators, logische fouten met betrekking tot tegoeden, of het lekken van code.

Gemiddeld

Web2

  • Stored XSS (met interactie): persistente cross-site scripting waarvoor gebruikersinteractie vereist is.

  • CSRF (kernactiviteiten): CSRF gericht op niet-kritieke bedrijfsacties.

  • Authenticatie-bypass (beperkt): ongeautoriseerde toegang tot backend- of gebruikersdata zonder financiële impact.

  • Overname van subdomein: controle over ongebruikte subdomeinen met een risico voor reputatie of phishing.

  • Fouten in verificatiecodes: zwaktes in de logica voor verificatie bij inloggen of het resetten van wachtwoorden.

  • Blootstelling van gevoelige data: blootstelling van versleutelde of interne gebruikersdata via toegankelijke interfaces.

  • Inloggegevens in leesbare tekst: hardcoded inloggegevens in broncode of configuratiebestanden, met uitzondering van API-sleutels.

Mobiel

  • Stored XSS (met interactie): persistente cross-site scripting binnen mobiele app-componenten waarvoor gebruikersinteractie vereist is.

  • CSRF (kernactiviteiten): vervalsing van cross-site verzoeken gericht op niet-kritieke bedrijfslogica.

  • Authenticatie-bypass (beperkt): ongeautoriseerde toegang tot gebruikersdata of -configuraties zonder financiële impact.

  • Lekken uit lokale opslag: blootstelling van gevoelige data die lokaal door de app is opgeslagen, zoals sessietokens of versleutelde inloggegevens.

  • Verificatiefouten: kwetsbaarheden in OTP-, inlog- of resetmechanismen door onvoldoende validatie of rate limiting.

  • Inloggegevens in leesbare tekst: hardcoded secrets in app-bestanden, met uitzondering van API-sleutels.

Desktopclients

  • CSRF (kernactiviteiten): vervalsen van niet-gevoelige client-acties, zoals het wijzigen van instellingen.

  • Authenticatie-bypass (beperkt): verkrijgen van ongeautoriseerde toegang tot configuraties op gebruikersniveau of beperkte client-weergaven.

  • Lekken uit lokale opslag: blootstelling van exploiteerbare data die door de client is opgeslagen, zoals sessietokens of authenticatie-secrets, zonder adequate bescherming of toegangscontrole.

  • Inloggegevens leesbare tekst: hardcoded secrets (met uitzondering van API-sleutels) in client-configuraties of binaire bestanden.

Web3

Criteria: Vereist interactie of heeft een beperkt bereik.

  • Wallet-exploits die interactie vereisen of verstoringen van transacties.

Laag

Web2

  • Reflected XSS: niet-persistente cross-site scripting in URL's of parameters.

  • DOM/Flash XSS: client-side cross-site scripting zonder interactie met de backend.

  • Open Redirects: doorverwijzen van gebruikers naar externe domeinen zonder validatie.

  • Lekken van algemene informatie: blootstelling van interne paden, directory's of debug-interfaces.

  • Gewone CSRF: CSRF gericht op niet-gevoelige gebruikersacties.

  • Manipulatie van HTTP-headers: aanpassen van headers met lage impact, zoals cache-gedrag of redirects.

Mobiel

  • Blootstelling van componenten: onbedoelde blootstelling van app-componenten, zoals geëxporteerde Android-activiteiten of iOS-services.

  • Open Redirects: niet-gevalideerde redirects in de processen van de app.

  • Problemen met HTTP-headers: kleine manipulaties van headers met verwaarloosbare impact.

Desktopclients

  • Lokale DoS: een crash van de desktop-app door corrupte bestanden of input.

  • Kleine misconfiguraties: blootstelling van tijdelijke of lokale bestanden zonder gevoelige data of directe exploiteerbaarheid.

Web3

Criteria: minimale impact of exploiteerbaarheid.

  • Stabiliteitsproblemen met nodes of kleine lekken.

Aanvullende richtlijnen

  • IDOR: de methode voor het ontdekken van de ID's moet worden aangetoond; niet alleen brute force.

  • Mobiel: meld een kwetsbaarheid die op zowel iOS als Android voorkomt slechts één keer.

  • Duplicaten: een identiek probleem op meerdere systemen of onderdelen geldt als één melding.

  • Fout-positieven, kwetsbaarheden met een lage bedrijfsimpact of niet-exploiteerbare bugs worden niet beloond, maar kunnen wel een eervolle vermelding krijgen.

Buiten scope

  • Meldingen van geautomatiseerde tools of scanners

  • Fout-positieve SQL-injectie zonder werkende PoC die de extractie van databases of gebruikersnamen aantoont

  • Spam-kwetsbaarheden, mail spoofing, mail bombing, enz.

  • Self-XSS

  • Gebruik van bekende kwetsbare bibliotheken of componenten zonder een werkende PoC

  • Clickjacking op pagina's zonder gevoelige acties

  • Cross-Site Request Forgery (CSRF) op niet-geverifieerde formulieren of formulieren met een lage impact

  • Aanvallen die een Man-in-the-Middle (MITM)-aanval, een geroot/gejailbreakt toestel of fysieke toegang tot het apparaat van een gebruiker vereisen

  • Eerder bekende kwetsbare bibliotheken zonder een werkend PoC

  • CSV-injectie zonder misbruik aan te tonen

  • Niet naleven van best practices voor SSL/TLS (bv. zwakke ciphers, verouderde protocolversies)

  • Denial of Service (DoS)-aanvallen of pogingen om de dienstverlening te verstoren

  • Content spoofing of tekstinjectie zonder aanpassing van HTML/CSS of een duidelijke aanvalsvector

  • Problemen met rate limiting of brute force bij eindpunten die niet voor authenticatie worden gebruikt

  • Niet naleven van best practices voor Content Security Policy.

  • Ontbrekende HttpOnly- of Secure-flags op cookies

  • Ontbrekende of ongeldige SPF/DKIM/DMARC-records

  • Kwetsbaarheden die alleen van invloed zijn op verouderde of niet-gepatchte browsers (ouder dan 2 stabiele versies).

  • Blootstelling van softwareversies, bannerinformatie, stack traces of uitgebreide foutmeldingen

  • Openbaar bekende zero-days waarvoor minder dan een maand geleden een patch is uitgebracht (wordt per geval bekeken)

  • Tabnabbing

  • Kwetsbaarheden die onwaarschijnlijke gebruikersinteractie vereisen

  • Kwetsbaarheden die al bekend zijn bij onze interne teams

  • Aanbevelingen voor best practices (bv. suggesties voor hardening)

  • WordPress-gerelateerde kwetsbaarheden

  • DLL-hijacking zonder aantoonbare privilege-escalatie

  • Omzeilen van rate limiting door simpelweg het IP-adres of apparaat-ID te veranderen

  • Spoofing van de adresbalk, URL of domeinnaam binnen browsers in de app op mobiele apparaten (bv. dApp- of WebView-gebaseerde browsers)

  • Blootstelling van gevoelige data op sociale media

  • Overname van interne domeinen buiten okx.com, okg.com of oklink.com

  • Clients (desktop/mobiel) die niet zijn gedownload van officiële bronnen die binnen de scope vallen

  • Rapporteren van 'Proof of Reserves' als een lek van 'gevoelige documenten'

  • Rapporten die uitsluitend gebaseerd zijn op statische analyse van binaire bestanden, zonder een PoC die impact heeft op de bedrijfslogica

  • Gebrek aan obfuscatie, binaire bescherming of detectie van jailbreak/root

  • Omzeilen van certificate pinning op geroote of gejailbreakte apparaten

  • Ontbrekende exploit-mitigaties (bv. PIE, ARC, Stack Canaries)

  • Gevoelige data in URL's of request bodies wanneer deze beschermd zijn door TLS

  • Blootstelling van paden in binaire bestanden

  • Hardcoded of herleidbare app-secrets in IPA/APK-bestanden zonder impact op de bedrijfsvoering

  • Gevoelige data opgeslagen in de private app-directory

  • App-crashes veroorzaakt door corrupte URL-schema's of geëxporteerde componenten

  • Runtime-exploits die alleen mogelijk zijn in een geroote of gejailbreakte omgeving (bv. via Frida)

  • Gelekte gedeelde links via het klembord

  • URI-lekken veroorzaakt door kwaadaardige apps met de juiste machtigingen

  • Blootstelling van API-sleutels zonder aantoonbare beveiligingsimpact (bv. Google Maps API-sleutels of sleutels in onze openbare GitHub-repository's)

  • Diensten van derden (tenzij expliciet toegestaan)

  • Diensten die geen eigendom zijn van OKX (bv. kwetsbaarheden bij cloudproviders)

Algemene regels:

  • Wees de eerste die de kwetsbaarheid meldt.

  • Lever een duidelijke Proof of Concept (PoC) aan, inclusief de stappen om de kwetsbaarheid te reproduceren.

  • Voer geen tests uit die echte gebruikersaccounts kunnen beïnvloeden.

  • Voer geen denial-of-service (DoS)-aanvallen, spam of social engineering uit.

  • Probeer geen gebruikersgegevens in te zien of te wijzigen zonder toestemming.

Uitkomst van het geschil

Als je feedback hebt over het rapportageproces, de risiconiveaus en de risicoclassificatie, neem dan contact op met onze klantenservice.