Rodzaje i poziomy opinii

Opublikowano 4 sie 2025Zaktualizowano 26 wrz 202512 min czytania

Po przesłaniu opinii użytkownicy powinni poczekać na wyniki. Gdy użytkownicy zatwierdzą wyniki, otrzymają nagrodę odpowiadającą danemu poziomowi. Uwaga: ten program jest dostępny wyłącznie dla użytkowników znajdujących się na białej liście.

Szablon zgłoszenia luk w zabezpieczeniach

  1. Pakiet zgłoszenia podatności lub adres URL (tekst, bez zrzutów ekranu) lub kroki operacyjne (np. Ustawienia -> Dane osobowe -> Problem z przesyłaniem zdjęć).

  2. Poziom luki

  3. Dowód ryzyka podatności (wskaźnik podawany jest zgodnie z poziomem ryzyka).

Wady i sugestie

Poważne błędy (100 USDT)

  1. Nie można wykonać ważnych funkcji (np. transakcje nie są realizowane, nie można składać zleceń).

  2. Błąd rozprzestrzenia się i wpływa na standardowe działanie innych ważnych funkcji.

  3. Awarie aplikacji, zawieszanie się i nieskończone pętle spowodowane niekonwencjonalnymi operacjami (np. operacjami, których użytkownicy nie wykonują podczas korzystania z oprogramowania).

  4. Wady, które są nie do przyjęcia pod względem wyglądu (np. zniekształcenie, kompresja lub deformacja obrazu).

  5. Problemy związane z bezpieczeństwem, które powodują wyciek danych (np. wyciek prywatnych informacji z konta spowodowany atakami).

Błędy ogólne (30 USDT)

Wady, które nie mają wpływu na działanie produktu ani nie powodują jego awarii, ale mają dość duży wpływ na wygląd produktu lub kolejne procesy.

  1. Funkcje dodatkowe nie mogą być wykonywane jak zwykle.

  2. Błędy interfejsu (np. Nazwy kolumn i opisów w oknie danych są niespójne).

  3. Błąd zapytania lub błąd wyświetlania danych.

  4. W interfejsie użytkownika nie ma prostych ograniczeń dotyczących wprowadzania danych (np. wyświetlanie formatu oceny podczas logowania i rejestracji powinno być włączone).

Błędy wyświetlania (10 USDT)

Elementy nie są odpowiednie i nie są dostosowane do zachowań użytkowników:

  1. Interfejs nie jest odpowiednio zaprojektowany.

  2. Opis lub instrukcja dotycząca konkretnej funkcji nie jest jasna.

Język

Kwestie językowe (10 USDT)

  1. Składnia tekstu interfejsu użytkownika jest nieprawidłowa.

  2. Nieprawidłowe użycie znaków interpunkcyjnych.

  3. Literówki.

  4. Myląca treść.

Zasady dotyczące błędów bezpieczeństwa i uprawnienia

Nasz program nagród za wykrycie błędów oferuje pięć poziomów ryzyka bezpieczeństwa, a mianowicie ekstremalne, krytyczne, wysokie, średnie i niskie. Etyczny haker zostanie nagrodzony kwotą do 1 000 000 USDT, aby zachęcić innych do pomocy w wykrywaniu potencjalnych luk w zabezpieczeniach. Dzięki temu systemowi mamy nadzieję stworzyć bardziej stabilne i niezawodne środowisko handlowe dla wszystkich użytkowników.

Poziom ryzyka

Luki w zabezpieczeniach są klasyfikowane na pięć poziomów w zależności od potencjalnego zagrożenia, a mianowicie: ekstremalne, krytyczne, wysokie, średnie i niskie. OKX ocenia powagę zgłoszonej luki w zabezpieczeniach według następujących kryteriów:

Ekstremalne (tylko Web3)

Kryteria: Dotyczy wszystkich użytkowników, >60 minut przestoju lub >500 000 USD potencjalnej straty.

  • Masowe naruszenie bezpieczeństwa środków/kluczy prywatnych lub naruszenia danych na dużą skalę bez interakcji użytkownika.

Krytyczne

Web2

  • Zdalne wykonanie kodu (RCE): wykonanie dowolnego kodu na serwerach OKX

  • Wstrzyknięcie kodu SQL (główna baza danych): dostęp do danych/modyfikacja danych na dużą skalę w głównej bazie danych produkcyjnej OKX.

  • Przejęcie zaplecza administracyjnego: uzyskanie krytycznych uprawnień administracyjnych

  • Masowe przejęcie kont: systemowe przejęcie dużej części kont użytkowników, zazwyczaj dotykające ponad 50% użytkowników.

  • Wykonanie polecenia systemowego: uruchamianie poleceń systemu operacyjnego na serwerach

Aplikacja

  • Zdalne ataki: zdalne naruszenie integralności aplikacji lub wykonanie kodu w infrastrukturze OKX.

  • Masowe naruszenie bezpieczeństwa danych: nieuprawniony dostęp do dużych ilości danych użytkowników poprzez luki w aplikacjach.

  • Przejęcie uprawnień administratora: uzyskanie dostępu administracyjnego do zaplecza za pośrednictwem urządzeń mobilnych.

  • Wykonanie polecenia systemowego: wykonanie poleceń systemu operacyjnego na serwerach aplikacji.

  • Wstrzyknięcie SQL/NoSQL: wykorzystanie punktów końcowych mobilnego interfejsu API do manipulowania zapytaniami do bazy danych, co prowadzi do masowego wycieku/modyfikacji danych wrażliwych (dane osobowe, informacje finansowe, dane uwierzytelniające) lub naruszenia bezpieczeństwa systemu zaplecza.

Aplikacje komputerowe

  • Zdalne wykonanie kodu (RCE): wykonanie dowolnego kodu na kliencie lub podłączonym serwerze za pośrednictwem aplikacji komputerowej.

  • Przejęcie uprawnień administratora: uzyskanie kontroli administracyjnej nad zapleczem za pośrednictwem klienta (np. SSRF po stronie serwera).

  • Wykonanie polecenia systemowego: wykonanie poleceń systemu operacyjnego na serwerze klienta lub zaplecza poprzez nieprawidłową konfigurację, lub niebezpieczne przetwarzanie danych wejściowych.

Web3

Kryteria: dotyczy >50% użytkowników, >15 minut przestoju lub >100 000 USD potencjalnej straty.

  • Zdalne ataki na walidatorów/kontrakty lub przejęcie kontroli administracyjnej.

Wysokie

Web2

  • Przechowywane wirusy XSS: samoreplikujące się skrypty międzywitrynowe na krytycznych stronach przeznaczonych dla użytkowników.

  • CSRF (krytyczne działania): CSRF prowadzące do przejęcia konta lub nieautoryzowanych działań dotyczących aktywów.

  • Dostęp do kont na dużą skalę: nieautoryzowany dostęp do wielu kont użytkowników z powodu błędów w logice uwierzytelniania lub autoryzacji.

  • Wstrzyknięcie kodu SQL (ograniczone): wyodrębnianie określonych danych wrażliwych

  • Wyciek kodu źródłowego: ujawnienie istotnego kodu źródłowego zaplecza lub kodu wewnętrznego.

  • SSRF (wpływ kontekstowy): SSRF, który dociera do usług wewnętrznych (stopień zagrożenia SSRF zależy od wpływu uzyskanego dostępu wewnętrznego).

Aplikacja

  • CSRF (krytyczne działania): CSRF prowadzące do przejęcia konta lub nieautoryzowanych działań dotyczących aktywów.

  • SSRF (wpływ kontekstowy): SSRF uzyskujący dostęp do wewnętrznych systemów lub usług za pośrednictwem mobilnych punktów końcowych.

  • Ujawnienie danych wrażliwych: wyciek zaszyfrowanych lub wrażliwych informacji przechowywanych, lub przetwarzanych przez aplikację.

  • Zakłócenia transakcji: błędy aplikacji, które zakłócają przepływ transakcji handlowych, wpłat lub wypłat.

  • Błędy logiczne (wpływ na środki): wykorzystywanie logiki aplikacji do manipulowania saldami lub przeprowadzania nieautoryzowanych transakcji.

  • Wyciek kodu źródłowego: ujawnienie istotnego kodu źródłowego aplikacji.

  • Nieautoryzowane operacje: wykonywanie nieautoryzowanych transakcji lub operacji finansowych poprzez wykorzystanie luk w zabezpieczeniach aplikacji.

Aplikacje komputerowe

  • CSRF (przejęcie konta lub transfer środków): sfałszowane żądania klienta, które skutkują krytycznymi działaniami wymagającymi uwierzytelnienia.

  • SSRF (wpływ kontekstowy): sfałszowane żądania z aplikacji do usług wewnętrznych.

  • Ujawnienie danych wrażliwych: ujawnienie zaszyfrowanych fraz odzyskiwania lub lokalnych danych wrażliwych za pośrednictwem funkcji aplikacji.

  • Zakłócenia transakcji: błędy po stronie klienta, które uniemożliwiają prawidłowe przeprowadzanie transakcji, wpłat lub wypłat.

  • Błędy logiczne (wpływ na środki): wykorzystywanie logiki po stronie klienta do manipulowania saldami kont lub zachowaniami związanymi z transferami.

Web3

Kryteria: Dotyczy >30% użytkowników, >10 minut przestoju lub >50 000 USD potencjalnej straty.

  • Problemy z walidatorem, błędy logiczne środków lub wycieki kodu.

Średnie

Web2

  • Przechowywane XSS (interakcja): trwałe skrypty międzywitrynowe wymagające interakcji użytkownika w celu uruchomienia.

  • CSRF (podstawowa działalność): CSRF ukierunkowane na działania biznesowe o znaczeniu niekrytycznym.

  • Omijanie uwierzytelniania (ograniczone): bieautoryzowany dostęp do danych zaplecza lub użytkowników bez skutków finansowych.

  • Przejęcie subdomeny: kontrola nad nieużywanymi subdomenami, które mogą stanowić zagrożenie dla reputacji lub phishingowe.

  • Wady kodu weryfikacyjnego: słabe punkty logiki weryfikacji logowania lub resetowania hasła.

  • Ujawnienie danych wrażliwych: ujawnienie zaszyfrowanych lub wewnętrznych danych użytkownika za pośrednictwem dostępnych interfejsów.

  • Dane uwierzytelniające w postaci zwykłego tekstu: dane uwierzytelniające zakodowane na stałe w kodzie źródłowym lub plikach konfiguracyjnych, z wyłączeniem kluczy API.

Aplikacja

  • Przechowywane XSS (interakcja): trwałe skrypty międzywitrynowe w komponentach aplikacji mobilnych, które wymagają interakcji użytkownika.

  • CSRF (podstawowa działalność): fałszowanie żądań międzywitrynowych ukierunkowane na niekrytyczną logikę biznesową.

  • Omijanie uwierzytelniania (ograniczone): nieautoryzowany dostęp do danych użytkownika lub konfiguracji bez skutków finansowych.

  • Wycieki z lokalnej pamięci: ujawnienie poufnych danych przechowywanych w aplikacji, takich jak tokeny sesji lub zaszyfrowane dane uwierzytelniające.

  • Wady weryfikacji: słabe punkty mechanizmów OTP, logowania lub resetowania spowodowane niewystarczającą weryfikacją lub ograniczeniami szybkości.

  • Dane uwierzytelniające w postaci zwykłego tekstu: zakodowane na stałe sekrety w plikach aplikacji, z wyjątkiem kluczy API.

Aplikacje komputerowe

  • CSRF (podstawowa działalność): fałszowanie działań klientów, które nie mają charakteru poufnego, takich jak zmiany ustawień.

  • Omijanie uwierzytelniania (ograniczone): uzyskanie nieautoryzowanego dostępu do konfiguracji na poziomie użytkownika lub ograniczonych widoków klienta.

  • Wycieki z pamięci lokalnej: ujawnienie danych przechowywanych przez klienta, które mogą zostać wykorzystane, takich jak tokeny sesji lub sekrety uwierzytelniające, bez odpowiedniej ochrony lub kontroli dostępu.

  • Dane uwierzytelniające w postaci zwykłego tekstu: zakodowane na stałe sekrety (z wyjątkiem kluczy API) osadzone w konfiguracjach klienta lub plikach binarnych.

Web3

Kryteria: wymaga interakcji lub ma ograniczony zakres.

  • Wykorzystanie słabych punktów portfela opartego na interakcji lub zakłócenia transakcji.

Niskie

Web2

  • Odzwierciedlone XSS: nietrwałe skrypty międzywitrynowe w adresach URL lub parametrach.

  • DOM/Flash XSS: skrypty międzywitrynowe po stronie klienta bez interakcji z zapleczem.

  • Otwarte przekierowania: przekierowywanie użytkowników do domen zewnętrznych bez weryfikacji.

  • Ogólne wycieki informacji: ujawnienie wewnętrznych ścieżek, katalogów lub interfejsów debugowania.

  • Typowe CSRF: CSRF wymierzone w nieistotne działania użytkownika.

  • Manipulowanie nagłówkami HTTP: modyfikowanie nagłówków o niewielkim wpływie, takich jak zachowanie pamięci podręcznej lub przekierowania.

Aplikacja

  • Ekspozycja komponentów: niezamierzona ekspozycja komponentów aplikacji, takich jak eksportowane działania systemu Android lub usługi iOS.

  • Otwarte przekierowania: niezweryfikowane przekierowania w przepływach aplikacji.

  • Problemy z nagłówkami HTTP: niewielkie manipulacje nagłówkami o znikomym wpływie.

Aplikacje komputerowe

  • Lokalny atak DoS: awaria aplikacji komputerowej spowodowana nieprawidłowymi plikami lub danymi wejściowymi.

  • Drobne błędy konfiguracji: ujawnienie plików tymczasowych lub lokalnych bez danych wrażliwych, lub możliwości bezpośredniego wykorzystania.

Web3

Kryteria: minimalny wpływ lub możliwość wykorzystania.

  • Problemy ze stabilnością węzłów lub niewielkie wycieki.

Dodatkowe wytyczne

  • IDOR: należy wykazać ścieżkę wykrywania identyfikatora, a nie tylko metodę brute force.

  • Urządzenia mobilne: zgłaszaj raz na każdą lukę bezpieczeństwa na wszystkich platformach (iOS/Android).

  • Duplikaty: ten sam problem w wielu aktywach = jedno zgłoszenie.

  • Fałszywe alarmy, błędy o niewielkim wpływie na działalność lub błędy, których nie można wykorzystać, nie będą nagradzane, ale mogą zostać odnotowane.

Poza zakresem

  • Raporty z automatycznych narzędzi lub skanerów

  • Fałszywie pozytywny wynik testu SQL Injection bez działającego PoC wykazującego ekstrakcję nazwy bazy danych/użytkownika.

  • Luki w zabezpieczeniach przed spamem, fałszowanie wiadomości e-mail, bomby pocztowe itp.

  • Self-XSS

  • Korzystanie z bibliotek/komponentów o znanych lukach w zabezpieczeniach bez działającego PoC

  • Clickjacking na stronach bez wrażliwych działań

  • Fałszowanie żądań międzywitrynowych (CSRF) w formularzach nieuwierzytelnionych lub o niewielkim znaczeniu

  • Ataki wymagające MITM, rootowania/jailbreakowania lub fizycznego dostępu do urządzenia użytkownika

  • Wcześniej znane podatne biblioteki bez działającego PoC

  • Wstrzyknięcie CSV bez wykazania wykorzystania

  • Brak najlepszych praktyk dotyczących protokołów SSL/TLS (np. słabe szyfry, wersje protokołów)

  • Denial of Service (DoS) lub próby zakłócenia świadczenia usług

  • Fałszowanie treści lub wstrzykiwanie tekstu bez modyfikacji HTML/CSS, lub wektora ataku

  • Ograniczenia szybkości lub problemy związane z metodą brute force w punktach końcowych bez uwierzytelniania

  • Brak praktyk dotyczących polityki bezpieczeństwa treści

  • Brakujące flagi HttpOnly lub Secure cookie

  • Brakujące lub nieprawidłowe rekordy SPF/DKIM/DMARC

  • Luki w zabezpieczeniach dotyczące wyłącznie przestarzałych/niezałatanych przeglądarek (starszych niż 2 stabilne wersje)

  • Ujawnianie wersji oprogramowania, informacje w banerze, ślady stosu lub szczegółowe błędy

  • Publiczne luki typu 0-day, dla których poprawki zostały wydane mniej niż miesiąc temu (rozpatrywane indywidualnie)

  • Tabnabbing

  • Luki wymagające mało prawdopodobnej interakcji użytkownika

  • Luki w zabezpieczeniach znane już zespołom wewnętrznym

  • Zalecenia dotyczące najlepszych praktyk (np. sugestie)

  • Luki związane z WordPressem

  • Przejęcie biblioteki DLL bez wykazania eskalacji uprawnień

  • Ominięcie ograniczenia przepustowości poprzez prostą zmianę adresu IP lub identyfikatora urządzenia

  • Fałszowanie adresu, adresu URL lub domeny w przeglądarkach mobilnych w aplikacjach (np. przeglądarkach opartych na dApp lub WebView)

  • Ujawnianie wrażliwych danych w mediach społecznościowych

  • Przejęcia domen wewnętrznych poza okx.com, okg.com lub oklink.com

  • Klienci (komputery stacjonarne/urządzenia mobilne) niepobrani z oficjalnych źródeł

  • Dowód rezerw zgłoszony jako „dokument wrażliwy”

  • Raporty oparte wyłącznie na statycznej analizie plików binarnych bez PoC wpływającego na logikę biznesową

  • Brak zaciemniania, ochrony plików binarnych lub wykrywania jailbreak/root

  • Omijanie przypisywania certyfikatów na urządzeniach zrootowanych/z jailbreakiem

  • Brak środków ograniczających wykorzystanie luk (np. PIE, ARC, Stack Canaries)

  • Dane wrażliwe w adresach URL lub treściach żądań chronione protokołem TLS

  • Ujawnianie ścieżki w plikach binarnych

  • Twarde kodowanie/odzyskiwalne sekrety aplikacji w IPA/APK bez wpływu na działalność biznesową

  • Dane wrażliwe przechowywane w prywatnym katalogie aplikacji

  • Aplikacja ulega awarii z powodu nieprawidłowych schematów adresów URL lub wyeksportowanych komponentów.

  • Wykorzystanie luk w czasie wykonywania, które jest możliwe tylko w środowisku zrootowanym/po jailbreaku (np. za pomocą Fridy)

  • Wyciekające udostępnione linki poprzez schowek

  • Wycieki adresów URI spowodowane przez złośliwe aplikacje posiadające uprawnienia

  • Ujawnienie kluczy API bez wykazania wpływu na bezpieczeństwo (np. klucze API Google Maps lub klucze znalezione w naszych publicznych repozytoriach GitHub)

  • Usługi stron trzecich (chyba że wyraźnie dozwolone)

  • Usługi niebędące własnością OKX (np. luki w zabezpieczeniach dostawców usług w chmurze)

Zasady ogólne

  • Bądź pierwszym, który zgłosi tę lukę.

  • Podaj jasny punkt kontrolny wraz z krokami umożliwiającymi odtworzenie błędu.

  • Unikaj testów, które mają wpływ na rzeczywiste konta użytkowników.

  • Nie wykonuj ataków typu denial-of-service, spamowania ani socjotechniki.

  • Nie próbuj uzyskiwać dostępu do danych użytkownika ani ich modyfikować bez pozwolenia.

Rozwiązywanie sporów

Jeśli masz jakieś uwagi dotyczące procesu zgłaszania, poziomów ryzyka i oceny ryzyka, skontaktuj się z naszym zespołem obsługi klienta, aby uzyskać natychmiastową pomoc.