Tipos e níveis de feedback

Publicado em 4 de ago. de 2025Atualizado em 26 de set. de 2025Leitura de 14min

Depois de enviar o feedback, os usuários devem aguardar os resultados da análise. Quando os usuários aprovarem os resultados da análise, eles receberão a recompensa do nível correspondente. Observação: este programa de recompensas está disponível apenas para usuários na lista de permissões.

Modelo de apresentação de vulnerabilidade

  1. Pacote de solicitação de vulnerabilidade ou URL (texto, sem capturas de tela) ou etapas de operação (por exemplo, Configurações -& Informações pessoais -& Problema ao enviar imagem).

  2. Brecha de conteúdo.

  3. Prova de risco de vulnerabilidade (a taxa é determinada de acordo com o nível de risco).

Defeitos e sugestões

Erros graves (100 USDT)

  1. Não é possível concluir funções importantes (por exemplo, as transações não são realizadas, não é possível criar ordens).

  2. O erro se espalha e afeta a operação normal de outras funções importantes.

  3. Falhas do aplicativo, congelamentos e ciclos infinitos causados por operações não convencionais (por exemplo, operações que os usuários não realizarão ao usar o software).

  4. Defeitos que são inaceitáveis na aparência (por exemplo, distorção, compressão ou deformidade de uma imagem).

  5. Problemas de segurança que causam vazamento de dados (por exemplo, vazamento de informações privadas da conta causado por ataques maliciosos)

Erros gerais (30 USDT)

Defeitos que não afetam as operações do produto nem causam falhas, mas têm um grande impacto na aparência do produto ou nos processos a seguir.

  1. As funções secundárias não podem ser executadas normalmente.

  2. Erros de interface (por exemplo, o significado dos nomes e descrições das colunas são inconsistentes na janela de dados).

  3. Erro de consulta ou erro de exibição de dados.

  4. O front-end não possui restrições básicas de entrada para garantir o controle (por exemplo, a validação de exibição de formato no login e no registro deve ser habilitada no front-end).

Erros de exibição (10 USDT)

As exibições não são adequadas e não correspondem ao comportamento do usuário:

  1. A interface não está projetada adequadamente.

  2. A descrição ou a instrução para uma determinada função não é clara.

Idioma

Problemas de idioma (10 USDT)

  1. A gramática no texto da interface do usuário está incorreta.

  2. Uso incorreto da pontuação.

  3. Erros de digitação.

  4. Conteúdo confuso.

Regras e elegibilidade para falhas de segurança

Nosso programa de recompensa para identificação de falhas oferece cinco níveis de risco de segurança: extremo, crítico, alto, médio e baixo. Um hacker ético será recompensado com até 1.000.000 USDT para incentivar hackers éticos a nos ajudar a descobrir possíveis vulnerabilidades. Com esse sistema, esperamos criar um ambiente de trading mais estável e confiável para todos os usuários.

Nível de risco

As vulnerabilidades são classificadas em cinco níveis, dependendo dos possíveis perigos: extrema, crítica, alta, média e baixa. A OKX avaliará a gravidade da vulnerabilidade relatada com os seguintes critérios:

Extrema (apenas Web3)

Critério: afeta todos os usuários, tempo de inatividade superior a 60min ou perda potencial acima de US$ 500 mil.

  • Comprometimento em massa dos fundos/chaves privadas sem interação ou violações de dados em grande escala.

Crítica

Web2

  • Execução remota de código (RCE): execução de código arbitrário nos servidores da OKX

  • Injeção SQL (banco de dados principal): acesso/modificação de dados em grande escala no banco de dados de produção principal da OKX

  • Tomada de controle do back-end do Admin: obtenção de privilégios críticos do administrador

  • Tomada de controle em massa da conta: controle de uma grande parte das contas dos usuários, geralmente afetando mais de 50% dos usuários

  • Execução de comando do sistema: execução de comandos do sistema operacional nos servidores

Celular

  • Explorações remotas: comprometimento remoto da integridade do aplicativo ou da execução de código na infraestrutura da OKX.

  • Violação de dados em massa: acesso não autorizado a grandes volumes de dados do usuário por meio de falhas do aplicativo.

  • Tomada de controle de privilégio de Admin: obtenção de acesso de administrador do back-end via vetores móveis.

  • Execução de comando do sistema: execução de comandos do sistema operacional em servidores de aplicativos.

  • Injeção SQL/NoSQL: exploração de endpoints de API móveis para manipular consultas de banco de dados do back-end, levando à exfiltração/modificação em massa de dados confidenciais (informações pessoais e financeiras, credenciais) ou comprometimento do sistema do back-end.

Clientes de computador

  • Execução remota de código (RCE): execução de código arbitrário no cliente ou no servidor conectado por meio do aplicativo do computador.

  • Tomada de controle de privilégio de Admin: obtenção de controle de administrador do back-end por meio do cliente (por exemplo, SSRF - ataques de falsificação de solicitação do lado do servidor).

  • Execução de comando do sistema: execução de comandos do sistema operacional no cliente ou no servidor de back-end por meio de configurações incorretas ou processamento inseguro de entradas.

Web3

Critério: afeta mais de 50% dos usuários, tempo de inatividade superior a 15min ou perda potencial acima de US$ 100 mil.

  • Explorações remotas de validadores/contratos ou tomada de controle de Admin.

Alta

Web2

  • Ataque XSS persistente: cross-site scripting que se replica automaticamente em páginas críticas voltadas ao usuário.

  • CSRF (ações críticas): CSRF que leva ao comprometimento da conta ou ações não autorizadas de ativos.

  • Acesso à conta em escala: acesso não autorizado a várias contas de usuário devido a falhas na lógica de autenticação ou autorização.

  • Injeção SQL (limitada): extração de dados confidenciais específicos

  • Vazamento de código-fonte: exposição de um backend ou código-fonte interno importante

  • SSRF (impacto contextual): SSRF que atinge serviços internos (a gravidade do SSRF depende do acesso interno obtido).

Celular

  • CSRF (ações críticas): CSRF que leva ao comprometimento da conta ou ações não autorizadas de ativos.

  • SSRF (impacto contextual): acesso a sistemas ou serviços internos por meio de endpoints móveis.

  • Exposição de dados confidenciais: vazamento de informações criptografadas ou confidenciais armazenadas ou processadas pelo aplicativo.

  • Interrupções de transação: falhas de aplicação que interferem com os fluxos de negociação, depósito ou saque.

  • Falhas de lógica (impacto no fundo): exploração da lógica do aplicativo para manipular saldos ou realizar transações não autorizadas.

  • Vazamento de código-fonte: exposição de um código-fonte importante do aplicativo.

  • Operações não autorizadas: realização de transações ou operações financeiras não autorizadas por meio de exploração de aplicativos.

Clientes de computador

  • CSRF (tomada de controle da conta ou transferência de fundos): solicitações de cliente falsas que resultam em ações críticas de autenticação.

  • SSRF (impacto contextual): solicitações falsificadas do aplicativo para serviços internos.

  • Exposição de dados confidenciais: exposição de seeds criptografadas ou dados locais confidenciais por meio da funcionalidade do aplicativo.

  • Interrupções de transação: falhas do lado do cliente que impedem negociações, depósitos ou saques válidos.

  • Falhas de lógica (impacto no fundo): exploração de lógica do lado do cliente para manipular os saldos da conta ou comportamentos de transferência.

Web3

Critérios: afeta mais de 30% dos usuários, tempo de inatividade superior a 10min ou perda potencial acima de US$ 50 mil.

  • Problemas de validador, falhas de lógica no fundo ou vazamentos de código.

Média

Web2

  • XSS persistente (interação): cross-site scripting persistente que exige a interação do usuário para ser disparado.

  • CSRF (operações principais): CSRF direcionado a ações não essenciais do negócio.

  • Desvio de autorização (limitado): acesso não autorizado a dados do back-end ou do usuário sem impacto financeiro.

  • Tomada de controle de subdomínios: controle de subdomínios não utilizados com risco de reputação ou phishing.

  • Falhas no código de verificação: pontos fracos na lógica de verificação de login ou redefinição de senha.

  • Exposição de dados confidenciais: divulgação dos dados internos ou criptografados dos usuários por meio de interfaces acessíveis.

  • Credenciais não criptografadas: credenciais codificadas em código-fonte ou arquivos de configuração, exceto chaves de API.

Celular

  • XSS persistente (interação): cross-site scripting persistente nos componentes do aplicativo para dispositivo móvel que exige interação do usuário.

  • CSRF (operações principais): falsificação de solicitações entre sites visando lógica não essencial do negócio.

  • Desvio de autorização (limitado): acesso não autorizado a dados ou configurações do usuário sem impacto financeiro.

  • Vazamento de armazenamento local: divulgação de dados confidenciais armazenados em aplicativos, como tokens de sessão ou credenciais criptografadas.

  • Falhas de verificação: pontos fracos nos mecanismos de senha de uso único (OTP), login ou restauração de acesso devido a validação insuficiente ou limite de tentativas.

  • Credenciais não criptografadas: segredos codificados em arquivos de aplicativo, exceto chaves de API.

Clientes de computador

  • CSRF (operações principais): falsificação de ações não confidenciais de clientes, como alterações de configurações.

  • Desvio de autorização (limitado): obtenção de acesso não autorizado a configurações de nível de usuário ou visualizações restritas do cliente.

  • Vazamento de armazenamento local: exposição de dados armazenados pelo cliente, como tokens de sessão ou segredos de autenticação, que podem ser explorados sem proteção ou controle de acesso adequados.

  • Credenciais não criptografadas: segredos codificados (exceto chaves de API) incorporados nas configurações do cliente ou nos códigos binários.

Web3

Critério: exige interação ou escopo limitado.

  • Explorações de carteiras baseadas em interação ou interrupções de transação.

Baixa

Web2

  • XSS refletido: cross-site scripting não persistente em URLs ou parâmetros.

  • DOM/Flash XSS: cross-site scripting do lado do cliente sem interação com o back-end.

  • Redirecionamento aberto: redireciona usuários para domínios externos sem validação.

  • Vazamento geral de informações: exposição de caminhos internos, diretórios ou interfaces de depuração.

  • CSRF comum: CSRF direcionado a ações não confidenciais do usuário.

  • Manipulação do cabeçalho HTTP: modificação de cabeçalhos com baixo impacto, como comportamento de cache ou redirecionamentos.

Celular

  • Exposição de componentes: exposição não intencional de componentes do aplicativo, como atividades exportadas no Android ou serviços para iOS.

  • Redirecionamento aberto: redirecionamentos inválidos nos fluxos do aplicativo.

  • Problemas de cabeçalho HTTP: manipulação mínima de cabeçalho com impacto irrelevante.

Clientes de computador

  • DoS local: causa o travamento do aplicativo do computador por meio de entradas ou arquivos corrompidos.

  • Pequenas falhas de configuração: exposição de arquivos temporários ou locais sem dados confidenciais nem risco de exploração direta.

Web3

Critério: impacto mínimo ou risco de exploração.

  • Problemas de estabilidade do nó ou vazamentos menores.

Diretrizes adicionais

  • IDOR: deve demonstrar o caminho de descoberta da identidade, não apenas a força bruta.

  • Dispositivo móvel: informa uma vez por vulnerabilidade em todas as plataformas (iOS/Android).

  • Duplicados: mesmo problema em vários ativos = um relatório.

  • Posições falsas, baixo impacto comercial ou falhas que não podem ser exploradas não serão recompensadas, mas poderão ser reconhecidas.

Além do escopo

  • Notificações de ferramentas ou scanners automatizados

  • Falso positivo de injeção de SQL sem um PoC funcional demonstrando extração de nome de usuário/banco de dados

  • Vulnerabilidade de spam, envio de e-mail falso, bombardeio de e-mail, etc.

  • Self-XSS

  • Uso de bibliotecas/componentes de vulnerabilidade conhecida sem um PoC funcional

  • Clickjacking em páginas sem ações sensíveis

  • Cross-Site Request Forgery (CSRF) em formulários não autenticados ou de baixo impacto

  • Ataques que requerem MITM, root/jailbreak ou acesso físico ao dispositivo do usuário

  • Bibliotecas com vulnerabilidades já conhecidas sem um PoC funcional

  • Injeção CSV sem demonstrar exploração

  • Falta de práticas recomendadas de SSL/TLS (por exemplo, ciphers e versões de protocolo fracas)

  • Tentativas de Denial of Service (DoS) ou interrupção do serviço

  • Falsificação de conteúdo ou injeção de texto sem modificação de HTML/CSS ou vetor de ataque

  • Problemas de limite de tentativas ou força bruta em endpoints não autenticados

  • Falta de práticas recomendadas de Política de Segurança de Conteúdo

  • Ausência de flags HttpOnly ou Secure em cookies

  • Registros SPF/DKIM/DMARC ausentes ou inválidos

  • Vulnerabilidades que afetam apenas navegadores desatualizados/sem patch (mais antigos que duas versões estáveis)

  • Divulgação de versões do software, informações do banner, rastreamento de stack ou erros de verbose

  • Zero-Day público com parches lançados há menos de 1 mês (caso a caso)

  • Tabnabbing

  • Vulnerabilidades que exigem interação improvável do usuário

  • Vulnerabilidades já conhecidas pelas equipes internas

  • Sugestão de práticas recomendadas (por exemplo, sugestões de reforço)

  • Vulnerabilidade relacionada a WordPress

  • Sequestro de DLL sem demonstrar escalabilidade de privilégios

  • Para contornar o limite de taxa, altere o endereço IP ou a identificação do dispositivo

  • Barras de endereço, URL ou domínio falsos em navegadores do aplicativo para dispositivo móvel (por exemplo, dApp ou navegadores baseados em WebView)

  • Exposição de dados confidenciais nas redes sociais

  • Tomada de controle de domínio interno que não pertencem a okx.com, okg.com ou oklink.com

  • Clientes (computador/dispositivo móvel) que não foram baixados de fontes oficiais no escopo

  • Prova de reservas relatado como vazamento de "documentação confidencial"

  • Relatórios baseados apenas em análise estática de códigos binários sem que o PoC afete a lógica do negócio

  • Falta de ofuscação, proteção de código binário, detecção de acesso rooting/jailbreak

  • Desvio de fixação de certificado em dispositivos com root/jailbreak

  • Falta de mitigações de explorações (por exemplo, PIE, ARC, Stack Canaries)

  • Dados confidenciais em URLs/corpos de requisição quando protegidos por TLS

  • Divulgação do caminho em código binário

  • Segredos de aplicativo codificado/recuperáveis em IPA/APK sem impacto comercial

  • Dados confidenciais armazenados no diretório de aplicativos privados

  • Falhas do aplicativo devido a esquemas de URL corrompidos ou componentes exportados

  • Exploração em tempo de execução que só é possível em um ambiente com rooting/jailbreak (por exemplo, via Frida)

  • Links compartilhados vazados via área de transferência

  • Vazamento de URI causado por aplicativos mal-intencionados com permissões

  • Exposição de chaves de API sem impacto demonstrado na segurança (por exemplo, chaves de API do Google Maps ou chaves encontradas nos nossos repositórios públicos do GitHub)

  • Serviços de terceiros (a menos que permitido explicitamente)

  • Serviços não pertencentes à OKX (por exemplo, vulnerabilidades do provedor de nuvem)

Regras gerais

  • Seja o primeiro a enviar um relatório da vulnerabilidade.

  • Forneça um PoC claro com etapas de reprodução.

  • Evite testes que afetem contas reais de usuários.

  • Não realize Denial of Service (DoS), spam ou engenharia social.

  • Não tente acessar ou modificar os dados do usuário sem permissão.

Resolução de disputas

Caso tenha algum feedback sobre o processo de relatório, níveis de risco ou classificação de risco, entre em contato com nossa equipe de suporte ao cliente para assistência imediata.