Tipuri și niveluri de feedback

Publicat la 4 aug. 2025Actualizat la 26 sept. 202513 min citire

După ce utilizatorii trimit feedback, trebuie să aștepte rezultatele evaluării. Când utilizatorii aprobă rezultatele evaluării, vor primi recompensa corespunzătoare nivelului respectiv. Notă: acest program de recompense este disponibil doar pentru utilizatorii de pe lista albă.

Șablon pentru trimiterea vulnerabilităților

  1. Pachet sau URL pentru solicitarea de vulnerabilitate (text, fără capturi de ecran) sau pașii de execuție (de ex.: Setări -> Informații personale -> Problemă de încărcare a imaginii).

  2. Instrucțiuni care exploatează o breșă.

  3. Dovada riscului de vulnerabilitate (rata afișată în funcție de nivelul de risc).

Defecte și sugestii

Erori grave (100 USDT)

  1. Nu se pot finaliza funcții importante (de ex. tranzacțiile nu sunt finalizate, ordinele nu se pot plasa).

  2. Eroarea se răspândește și afectează funcționarea normală a altor funcții importante.

  3. Aplicația se oprește, se blochează sau intră în bucle infinite cauzate de operațiuni neobișnuite (de ex., operațiuni pe care utilizatorii nu le-ar efectua în mod normal folosind software-ul).

  4. Defecte inacceptabile vizual (de ex. distorsiuni, comprimări sau deformări ale unei imagini).

  5. Probleme de securitate care cauzează scurgerea de date (de ex. scurgere de informații private din cont cauzată de atacuri răuvoitoare).

Erori generale (30 USDT)

Defecte care nu afectează funcționarea produsului și nu cauzează defecțiuni, dar au un impact semnificativ asupra aspectului produsului sau asupra etapelor următoare.

  1. Funcțiile secundare nu pot fi realizate normal.

  2. Erori de interfață (de ex, semnificațiile denumirilor de coloane și ale descrierilor din fereastra de date nu se potrivesc).

  3. Eroare de interogare sau de afișare a datelor.

  4. Restricții simple de introducere nu sunt aplicate în interfața de utilizator pentru control; (de ex., verificarea formatului pentru afișare la autentificare și înregistrare ar trebui activată în interfața de utilizator).

Erori de afișare (10 USDT)

Afișajele nu sunt adecvate și nu se conformează comportamentului utilizatorilor:

  1. Interfața nu este proiectată corect.

  2. Descrierea sau instrucțiunea pentru o anumită funcție nu este clară.

Limbă

Probleme de limbă (10 USDT)

  1. Gramatica textelor din interfața utilizatorului este incorectă.

  2. Utilizarea incorectă a punctuației.

  3. Greșeli de ortografie.

  4. Conținut confuz.

Reguli și criterii de eligibilitate pentru erorile de securitate

Programul nostru de recompense pentru erori oferă cinci niveluri de risc de securitate: extrem, critic, ridicat, mediu și scăzut. Un hacker etic va fi recompensat cu până la 1.000.000 USDT pentru a încuraja experții să ne ajute să descoperim posibile vulnerabilități. Cu acest sistem, sperăm să construim un mediu de tranzacționare mai stabil și de încredere pentru toți utilizatorii.

Nivel de risc

Vulnerabilitățile sunt clasificate în cinci niveluri, în funcție de pericolele posibile: extrem, critic, ridicat, mediu și scăzut. OKX va evalua gravitatea unei vulnerabilități raportate după următoarele criterii:

Extrem (doar Web3)

Criterii: afectează toți utilizatorii, întrerupere de peste 60 de minute sau pierdere potențială de peste 500.000 USD.

  • Compromitere în masă fără nicio interacțiune a fondurilor/cheilor private sau breșe de date la scară largă.

Critic

Web2

  • Executarea de cod la distanță (RCE): rularea de cod arbitrar pe serverele OKX

  • Injecție SQL (baza de date principală): acces sau modificare la scară largă în baza de date principală de producție OKX

  • Preluarea back-endului de administrare: obținerea privilegiilor critice de administrator

  • Preluarea în masă a conturilor: preluarea sistemică a unei mari părți din conturile utilizatorilor, de obicei afectând peste 50% dintre utilizatori

  • Executarea comenzilor sistemului: rularea comenzilor OS pe servere

Mobil

  • Exploatări la distanță: compromiterea de la distanță a integrității aplicației sau rularea de cod pe infrastructura OKX.

  • Breșă de date în masă: acces neautorizat la volume mari de date ale utilizatorilor prin vulnerabilități ale aplicației.

  • Preluarea privilegiilor de administrator: obținerea accesului administrativ la back-end prin vectori mobili.

  • Executarea comenzilor sistemului: rularea comenzilor sistemului de operare pe serverele aplicației.

  • Injecție SQL/NoSQL: exploatarea endpointurilor API mobile pentru a manipula interogările bazei de date de back-end, ducând la exfiltrarea/modificarea în masă a datelor sensibile (PII, informații financiare, acreditări) sau compromiterea sistemului de back-end.

Clienți desktop

  • Executarea de cod la distanță (RCE): rularea de cod arbitrar pe client sau pe serverul conectat prin aplicația desktop.

  • Preluarea privilegiilor de administrator: obținerea controlului administrativ asupra back-endului prin client (de ex.: SSRF pe partea serverului).

  • Executarea comenzilor sistemului: rularea comenzilor sistemului de operare pe client sau serverul back-end prin erori de configurare greșite sau gestionarea nesigură a intrării.

Web3

Criterii: afectează peste 50% dintre utilizatori, întrerupere de peste 15 minute sau pierdere potențială de peste 100.000 USD.

  • Exploatări la distanță pentru validatori/contracte sau preluări ale administratorilor.

Ridicat

Web2

  • XSS stocat de tip vierme: scripturi între site-uri care se autoreplică pe pagini critice vizibile utilizatorilor.

  • CSRF (Acțiuni critice): atac CSRF care duce la compromiterea contului sau la acțiuni neautorizate asupra activelor.

  • Acces la conturi la scară largă: acces neautorizat la mai multe conturi de utilizatori din cauza unor erori în logica de autentificare sau autorizare.

  • Injecție SQL (limitată): extragerea unor date sensibile specifice

  • Scurgere de cod sursă: expunerea codului sursă semnificativ de back-end sau intern

  • SSRF (Impact contextual): SSRF care ajunge la servicii interne (gradul de severitate al SSRF depinde de impactul accesului intern obținut).

Mobil

  • CSRF (Acțiuni critice): atac CSRF care duce la compromiterea contului sau la acțiuni neautorizate asupra activelor.

  • SSRF (Impact contextual): SSRF care accesează sisteme sau servicii interne prin endpointuri mobile.

  • Expunere de date sensibile: scurgerea de informații criptate sau sensibile stocate sau procesate de aplicație.

  • Perturbări ale tranzacțiilor: vulnerabilități ale aplicației care afectează fluxurile de tranzacționare, depunere sau retragere.

  • Erori de logică (impact asupra fondurilor): exploatarea logicii aplicației pentru a manipula soldurile sau a efectua tranzacții neautorizate.

  • Scurgere de cod sursă: expunerea codului sursă semnificativ al aplicației.

  • Operațiuni neautorizate: efectuarea de tranzacții sau operațiuni financiare neautorizate prin exploatări ale aplicației.

Clienți desktop

  • CSRF (preluare cont sau transferuri de fonduri): solicitări de client falsificate care duc la acțiuni autentificate critice.

  • SSRF (impact contextual): cereri falsificate din aplicație către servicii interne.

  • Expunere de date sensibile: expunerea expresiilor de protecție criptate sau a datelor locale sensibile prin funcționalitatea aplicației.

  • Perturbări ale tranzacțiilor: erori pe partea clientului care împiedică efectuarea tranzacțiilor, depunerilor sau retragerilor valide.

  • Erori de logică (impact asupra fondurilor): exploatarea logicii pe partea clientului pentru a manipula soldurile conturilor sau comportamentul transferurilor.

Web3

Criterii: afectează peste 30% dintre utilizatori, întrerupere de peste 10 minute sau pierdere potențială de peste 50.000 USD.

  • Probleme cu validatorul, erori de logică în fonduri sau scurgeri de cod.

Medium

Web2

  • XSS stocat (interacțiune): scripturi persistente între site-uri ce necesită interacțiunea utilizatorului pentru declanșare.

  • CSRF (activitate de bază): atac CSRF care vizează acțiuni de afaceri necritice.

  • Omitere autentificare (limitată): acces neautorizat la back-end sau la datele utilizatorilor fără impact financiar.

  • Preluarea subdomeniului: controlul subdomeniilor neutilizate, cu risc reputațional sau de phishing.

  • Erori în codul de verificare: vulnerabilități în logica de verificare la autentificare sau resetarea parolei.

  • Expunere de date sensibile: divulgarea datelor de utilizator criptate sau interne prin interfețe accesibile.

  • Date de autentificare în clar: date de autentificare codificate direct în codul sursă sau în fișierele de configurare, cu excluderea cheilor API.

Mobil

  • XSS stocat (cu interacțiune): scripturi persistente între site-uri în componentele aplicației mobile, care necesită interacțiunea utilizatorului.

  • CSRF (activitate de bază): falsificarea cererilor între site-uri care vizează logica de activitate necritică.

  • Omitere autentificare (limitată): acces neautorizat la configurările sau datele utilizatorilor fără impact financiar.

  • Scurgeri de stocare locale: divulgarea datelor sensibile stocate în aplicații, cum ar fi tokenuri de sesiune sau date de autentificare criptate.

  • Erori de verificare: vulnerabilități în mecanismele OTP, autentificare sau resetare, cauzate de validări insuficiente sau limitări inadecvate ale ratei.

  • Date de autentificare în clar: secrete codificate direct în fișierele aplicației, cu excluderea cheilor API.

Clienți desktop

  • CSRF (activitate de bază): falsificarea acțiunilor client necritice, precum modificările de setări.

  • Omitere autentificare (limitată): acces neautorizat la configurațiile utilizatorului sau la vizualizările restricționate ale clientului.

  • Scurgeri din stocarea locală: expunerea datelor exploatabile stocate de client, precum tokenuri de sesiune sau secrete de autentificare, fără protecție sau control adecvat al accesului.

  • Date de autentificare în clar: secrete codificate direct (cu excluderea cheilor API) în configurațiile sau fișierele binare ale clientului.

Web3

Criterii: necesită interacțiune sau are un impact limitat.

  • Exploatări ale portofelului sau perturbări ale tranzacțiilor care necesită interacțiunea utilizatorului.

Scăzut

Web2

  • XSS reflectat: scripturi între site-uri non-persistente în URL-uri sau parametri.

  • XSS DOM/Flash: scripturi între site-uri pe partea clientului, fără interacțiune cu back-endul.

  • Redirecționări deschise: trimiterea utilizatorilor către domenii externe fără validare.

  • Scurgeri generale de informații: expunerea căilor interne, a directoarelor sau a interfețelor de depanare.

  • CSRF obișnuit: atac CSRF care vizează acțiuni necritice ale utilizatorului.

  • Manipularea antetului HTTP: modificarea antetelor cu impact redus, cum ar fi comportamentul memoriei cache sau redirecționările.

Mobil

  • Expunerea componentelor: expunerea neintenționată a componentelor aplicației, precum activități exportate în Android sau servicii iOS.

  • Redirecționări deschise: redirecționări nevalidate în fluxurile aplicației.

  • Probleme de antet HTTP: manipulare minoră a antetului cu impact neglijabil.

Clienți desktop

  • DoS local: blocarea aplicației desktop prin fișiere sau intrări necorespunzătoare.

  • Configurări minore greșite: expunerea fișierelor temporare sau locale fără date sensibile sau posibilitate de exploatare directă.

Web3

Criterii: impact minim sau exploatabilitate.

  • Probleme de stabilitate a nodurilor sau scurgeri minore.

Instrucțiuni suplimentare

  • IDOR: trebuie să demonstrezi calea de descoperire a ID-ului, nu doar prin forță brută.

  • Mobil: raportează o singură dată pentru fiecare vulnerabilitate pe toate platformele (iOS/Android).

  • Duplicate: aceeași problemă cu mai multe active = un raport.

  • Rezultatele fals pozitive, impactul redus asupra activității sau erorile neexploatabile nu vor fi recompensate, dar pot fi recunoscute.

În afara sferei de aplicare

  • Rapoartele de la instrumente sau scanere automate

  • Injecție SQL fals pozitivă fără un PoC funcțional care să demonstreze extragerea numelui bazei de date sau a numelor de utilizator

  • Vulnerabilitate la spam, falsificarea adreselor de e-mail, bombardarea cu e-mailuri etc.

  • Self-XSS

  • Utilizarea bibliotecilor/componentelor cunoscute ca fiind vulnerabile fără un PoC funcțional

  • Clickjacking pe paginile fără acțiuni sensibile

  • Falsificarea solicitărilor între site-uri(CSRF) pe formulare neautentificate sau cu impact mic

  • Atacuri care necesită MITM, root/jailbreak sau acces fizic la dispozitivul tău

  • Biblioteci cunoscute anterior ca vulnerabile, fără un PoC funcțional

  • Injecție CSV fără demonstrarea exploatării

  • Lipsa celor mai bune practici SSL/TLS (de ex., cifre și versiuni de protocol slabe)

  • Blocarea accesului (DoS) sau încercări de întrerupere a serviciului

  • Falsificare de conținut sau injectare de text fără modificarea HTML/CSS sau vector de atac

  • Probleme de limitare a cererilor sau atacuri de tip forță brută pe endpointuri care nu necesită autentificare

  • Lipsa celor mai bune practici pentru Politica de securitate a conținutului

  • Lipsesc semnele de tip HttpOnly sau Secure cookie

  • Înregistrări SPF/DKIM/DMARC lipsă sau nevalide

  • Vulnerabilități care afectează doar browsere învechite/neactualizate (mai vechi de 2 versiuni stabile)

  • Divulgarea versiunii software, informații din banner, urme ale stivei de execuție sau erori detaliate

  • Vulnerabilități zero-day publice, cu patchuri lansate în mai puțin de 1 lună (evaluare caz cu caz)

  • Tabnabbing

  • Vulnerabilități care necesită o interacțiune improbabilă din partea utilizatorului

  • Vulnerabilități deja cunoscute de echipele interne

  • Recomandări privind cele mai bune practici (de exemplu, sugestii de consolidare)

  • Vulnerabilități asociate cu Wordpress

  • Deturnare DLL fără a demonstra escaladarea privilegiilor

  • Ocolirea limitării cererilor prin simpla schimbare a adresei IP sau a ID-ului dispozitivului

  • Falsificare a barei de adrese, URL-ului sau domeniului în cadrul browserelor mobile din aplicații (de ex., browsere dApp sau bazate pe WebView)

  • Expunerea datelor sensibile pe rețelele sociale

  • Preluări interne de domenii în afara okx.com, okg.com sau oklink.com

  • Clienți (desktop/mobile) care nu au fost descărcați din surse oficiale, incluși în domeniul de aplicare

  • Dovada rezervelor raportată ca scurgere de „document sensibil”

  • Rapoarte bazate doar pe analiza statică a fișierelor binare, fără PoC, care afectează logica de business

  • Lipsa ofuscării, protecției fișierelor binare sau detectării jailbreakului/rootului

  • Ocolirea verificării certificate pe dispozitive cu root/dispozitiv deblocat (jailbroken)

  • Lipsa măsurilor de protecție împotriva exploatărilor (de ex., PIE, ARC, Stack Canaries)

  • Date sensibile în URL-uri sau în corpul cererilor atunci când sunt protejate de TLS

  • Dezvăluirea căii în fișiere binare

  • Secretele aplicației codificate/recuperabile în IPA/APK fără impact comercial

  • Date sensibile stocate în registrul aplicației private

  • Aplicația se blochează din cauza unor scheme URL false sau a componentelor exportate

  • Exploatări în timpul rulării care sunt posibile doar într-un mediu cu root/jailbreak (de ex., prin Frida)

  • Linkuri partajate divulgate prin clipboard

  • Scurgeri de URI cauzate de aplicații răuvoitoare cu permisiuni

  • Expunerea cheilor API fără impact de securitate demonstrat (de ex., chei Google Maps sau chei găsite în depozitele noastre publice de pe GitHub)

  • Servicii terțe (dacă nu este permis în mod explicit)

  • Servicii ce nu sunt deținute de OKX (de exemplu, vulnerabilități ale furnizorilor cloud)

Reguli cu caracter general

  • Fii primul care raportează vulnerabilitatea.

  • Furnizeayă un PoC clar cu pași de reproducere.

  • Evită testarea care afectează conturile de utilizatori reali.

  • Nu efectua refuzarea serviciului, spam sau ingineria socială.

  • Nu încerca să accesezi sau să modifici datele utilizatorului fără permisiune.

Soluționarea contestațiilor

Dacă ai orice sugestie privind procesul de raportare, nivelurile de risc și clasificarea riscului, contactează echipa noastră de asistență clienți pentru ajutor imediat.