Типы и уровни отзывов

Опубликовано 4 авг. 2025 г.Обновлено 26 сент. 2025 г.2 мин на чтение

После отправки отзывов пользователи должны дождаться результатов рассмотрения. Когда пользователи одобрят результаты рассмотрения, они получат награду за соответствующий уровень. Примечание. Эта программа наград доступна только для пользователей из белого списка.

Шаблон для подачи сведений об уязвимости

  1. Пакет с запросом об уязвимости или URL (текст, без скриншотов) или шаги выполнения (например, Настройки -> Личная информация -> Проблема с загрузкой изображения).

  2. Нагрузка на брешь.

  3. Доказательство риска уязвимости (вознаграждение зависит от уровня риска).

Неисправности и предложения

Серьезные ошибки (100 USDT)

  1. Невозможно выполнять важные функции (например, транзакции не выполняются, нельзя размещать ордера).

  2. Ошибка распространяется и влияет на нормальную работу других важных функций.

  3. Сбои приложения, заморозки и бесконечные циклы, вызванные нетрадиционными операциями (например, операциями, которые пользователи обычно не выполняют при использовании программного обеспечения).

  4. Неприемлемые внешние дефекты (например, искажение, сжатие или деформация изображения).

  5. Проблемы безопасности, которые приводят к утечке данных (например, утечка конфиденциальной информации аккаунта, вызванная атаками)

Общие ошибки (30 USDT)

Дефекты, которые не влияют на работу продукта и не приводят к сбоям, но имеют значительное влияние на восприятие продукта или дальнейшие процессы.

  1. Невозможно выполнять вспомогательные функции в нормальном режиме.

  2. Ошибки интерфейса (например, значения названий столбцов и описаний во вкладке данных не совпадают).

  3. Ошибка запроса или отображения данных.

  4. В интерфейсе устройства для контроля не наложены ограничения на простые входные данные (например, при входе или регистрации на стороне клиента должна быть включена проверка вводимых данных).

Ошибки при отображении (10 USDT)

Отображение не соответствует поведению пользователя:

  1. Интерфейс не разработан должным образом.

  2. Описание или инструкция для конкретной функции нечеткое.

Язык

Проблемы с переводом (10 USDT)

  1. Ошибки в грамматике в тексте пользовательского интерфейса.

  2. Неправильное использование пунктуации.

  3. Ошибки.

  4. Непонятное содержимое

Правила ошибок безопасности и право на участие

Наша программа вознаграждений за нахождение ошибок предполагает пять уровней риска безопасности: экстремальный, критический, высокий, средний и низкий. За обнаружение возможных уязвимостей мы награждаем пользователей на сумму до 1 000 000 USDT. С помощью этой системы мы надеемся создать более стабильную и надежную торговую среду для всех пользователей.

Уровень риска

В зависимости от потенциальной опасности уязвимости делятся на 5 уровней: экстремальные, критические, высокие, средние и низкие. Уровень уязвимости, о которой уведомили OKX, будет оцениваться по следующим критериям:

Экстремальные (только для Web3)

Критерии: затрагивает всех пользователей, >60 мин. простоя или >$500 000 потенциального убытка.

  • Массовое утери средств/закрытых ключей или масштабные утечки данных без взаимодействия.

Критические

Web2

  • Удаленное выполнение кода (RCE): выполнение произвольного кода на серверах OKX.

  • Ввод SQL (Core DB): доступ к крупномасштабным данным/изменения в основной производственной базе данных OKX.

  • Захват бэкенда администратора: получение критических привилегий администратора.

  • Массовое внедрение аккаунтов. Систематическое внедрение значительной части аккаунтов, обычно затрагивающее >50% пользователей.

  • Исполнение системных команд: выполнение команд ОС на серверах.

Мобильная версия

  • Удаленные эксплойты: удаленное нарушение целостности приложения или исполнения кода в инфраструктуре OKX.

  • Массовое утечка данных: несанкционированный доступ к большим объемам данных пользователей из-за ошибок приложения.

  • Захват привилегий администратора: получение административного доступа на сервере через мобильные векторы.

  • Исполнение системных команд: выполнение операционных системных команд на серверах приложений.

  • Внедрение SQL/NoSQL: использование мобильных серверов API для манипулирования запросами на серверные базы данных, что приводит к массовой фильтрации/изменению конфиденциальных данных (PII, финансовые данные, учетные данные) или компрометированию серверной системы.

Версии для ПК

  • Удаленное выполнение кода (RCE): выполнение произвольного кода в клиенте или на подключенном сервере через приложение для ПК.

  • Захват привилегий администратора: получение административного контроля бэкенда через клиент (например, SSRF со стороны сервера).

  • Исполнение системных команд: выполнение операционных системных команд в клиенте или на сервере бэкенда с помощью неправильных конфигураций или небезопасной обработки входных данных.

Web3

Критерии: влияет на >50% пользователей, >15 мин. простоя или >$100 000 потенциального убытка.

  • Удаленное использование валидаторов/контрактов или действий администраторов.

Высокие

Web2

  • Хранение червей XSS: самореплицирующийся межсайтовый скрипт на важных страницах пользователей.

  • CSRF (критические действия): CSRF, который приводит к взлому аккаунта или несанкционированным действиям с активами.

  • Масштабный доступ к аккаунту: несанкционированный доступ к нескольким аккаунтам пользователей из-за ошибок в аутентификации или логике авторизации.

  • Ввод SQL (ограниченный): извлечение конфиденциальных данных.

  • Утечка исходного кода: обнаружение значительной части серверного или внутреннего исходного кода.

  • SSRF (контекстный эффект): SSRF, охватывающий внутренние службы (серьезность SSRF зависит от влияния достигнутого внутреннего доступа).

Мобильная версия

  • CSRF (критические действия): CSRF, который приводит к взлому аккаунта или несанкционированным действиям с активами.

  • SSRF (контекстный эффект): SSRF обеспечивает доступ к внутренним системам или услугам через мобильные конечные точки.

  • Утечка конфиденциальных данных: утечка зашифрованной или конфиденциальной информации, хранящейся в приложении или обрабатываемой им.

  • Перебои в работе транзакций: ошибки приложения, которые мешают работе с потоками торговли, депозитами и выводом средств.

  • Логические недостатки (влияние на средства): манипулирование балансами или совершение несанкционированных транзакций с использованием логики приложения.

  • Утечка исходного кода: обнаружение значительного исходного кода приложения.

  • Несанкционированные операции: совершение несанкционированных транзакций или финансовых операций с помощью уязвимостей в приложениях.

Версии для ПК

  • CSRF (захват аккаунта или перевод средств): поддельные запросы клиентов, которые приводят к критическим действиям с получением разрешений.

  • SSRF (контекстный эффект): поддельные запросы от приложения к внутренним службам.

  • Раскрытие конфиденциальных данных: обнаружение зашифрованных сидов или локальных конфиденциальных данных с помощью функций приложения.

  • Перебои в работе транзакции: ошибки на стороне клиента, которые препятствуют проведению правомерной торговли, внесению депозитов или выводу средств.

  • Логические недостатки (влияние на средства): манипулирование логикой со стороны клиента для взаимодействия с балансами аккаунтов или переводами.

Web3

Критерии: влияет на >30% пользователей, >10 мин. простоя или >$50 000 потенциального убытка.

  • Проблемы с валидатором, ошибки в логике фонда или утечка кода.

Средние

Web2

  • Хранение XSS (взаимодействие): постоянный кросс-сайтовый скрипт, требующий взаимодействия с пользователем.

  • CSRF (основной бизнес): CSRF, нацеленный на некритические коммерческие действия.

  • Обход авторизации (ограниченный): несанкционированный доступ к серверу или данным пользователя без финансового влияния.

  • Захват субдомена: контроль над неиспользуемыми субдоменами с риском репутации или фишинга.

  • Недостатки в коде подтверждения: слабые места в логике проверки входа или сброса пароля.

  • Раскрытие конфиденциальных данных: раскрытие зашифрованных или внутренних данных пользователя через доступные интерфейсы.

  • Учетные данные с незашифрованным текстом: жестко закодированные учетные данные в файлах исходного кода или конфигураций, за исключением ключей API.

Мобильная версия

  • Хранение XSS (взаимодействие): постоянный межсайтовый скрипт в компонентах мобильного приложения, требующий взаимодействия с пользователями.

  • CSRF (основной бизнес). Подделка межсайтовых запросов, нацеленная на некритическую бизнес-логику.

  • Обход авторизации (ограниченный): несанкционированный доступ к пользовательским данным или конфигурациям без финансового влияния.

  • Утечка данных в локальном хранилище: раскрытие конфиденциальных данных, хранящихся в приложениях, таких как токены сеанса или зашифрованные учетные данные.

  • Недостатки верификации: слабые места в механизме входа, входа или сброса из-за недостаточной валидации или лимитов запросов.

  • Незашифрованные учетные данные: жестко закодированные секреты в файлах приложения, за исключением ключей API.

Версии для ПК

  • CSRF (основной бизнес): проведение неконфиденциальных действий с клиентом, например изменений настроек.

  • Обход авторизации (ограниченный): получение несанкционированного доступа к конфигурациям на уровне пользователя или ограниченным просмотрам клиента.

  • Утечка данных в локальном хранилище: обнаружение доступных данных, хранящихся клиентом, таких как токены сеанса или секреты аутентификации без надлежащей защиты или контроля доступа.

  • Незашифрованные учетные данные: секреты, жестко закодированные (кроме ключей API), встроенные в клиентские конфигурации или двоичные файлы.

Web3

Критерии: требуют взаимодействия или ограниченного объема.

  • Использование кошельков на основе использования уязвимости или сбоев транзакций.

Низкие

Web2

  • Отраженный XSS: непостоянный межсайтовый скрипт в URL-адресах или параметрах.

  • DOM/Flash XSS: межсайтовый скрипт на стороне клиента без взаимодействия с бэкендом.

  • Открытое перенаправление: перенаправление пользователей на внешние домены без проверки.

  • Общие утечки информации: обнаружение внутренних путей, каталогов или интерфейсов отладки.

  • Распространенные CSRF: CSRF, нацеленные на неконфиденциальные действия пользователей.

  • Манипуляции с HTTP-заголовками. Изменение заголовков с низким влиянием, например с поведением кеша или перенаправлением.

Мобильная версия

  • Работа с компонентами: непреднамеренное обнаружение компонентов приложения, например экспортированных действий на Android или в сервисах iOS.

  • Открытые перенаправления: несанкционированные перенаправления в потоках приложения.

  • Проблемы с заголовком HTTP: незначительная манипуляция заголовком с незначительным влиянием.

Версии для ПК

  • Местные DoS: сбой приложения для ПК с помощью неправильно сформированных файлов или входных данных.

  • Мелкие изменения в конфигурации: обнаружение временных или локальных файлов без конфиденциальных данных и прямой возможности использования.

Web3

Критерии: минимальное влияние или возможности использования.

  • Проблемы с стабильностью нод или незначительные утечки.

Дополнительные рекомендации

  • IDOR: необходимо демонстрировать путь подтверждения удостоверения личности, а не только грубую силу.

  • Мобильный телефон: сообщайте о каждой уязвимости на разных платформах (iOS/Android).

  • Дубликаты: одинаковая проблема при нескольких активах = один отчет.

  • Ложно положительные уязвимости, низкое влияние на бизнес или неиспользуемые ошибки не приносят вознаграждения, но могут быть учтены.

Что не учитывается

  • Отчеты автоматизированных инструментов или программ сканирования

  • Ложно положительное введение SQL без рабочего PoC, демонстрирующего извлечение DB/имя пользователя

  • Уязвимость к спаму, подмена почтового адреса, почтовая бомба и т. д.

  • Самостоятельное XSS

  • Использование библиотек/компонентов с известной уязвимостью без рабочего PoC

  • Кликджекинг на страницах без конфиденциальных действий

  • Подделка межсайтовых запросов (CSRF) на непроверенных или малоэффективных формах

  • Атаки, требующие MITM или физического доступа к устройству пользователя

  • Ранее известные уязвимые библиотеки без активного доказательства концепции

  • Введение CSV без демонстрации уязвимости

  • Отсутствие рекомендаций по SSL/TLS (например, слабые шифры, версии протокола)

  • Отказ в обслуживании (DoS) или попытки прерывания работы сервиса

  • Подделка контента или добавление текста без изменения HTML/CSS или вектора атаки

  • Проблемы с ограничением скорости или брутфорс-атаками на серверах без аутентификации

  • Отсутствие рекомендаций по политике безопасности контента

  • Отсутствуют флаги HttpOnly или Secure cookie

  • Отсутствуют или недействительны записи SPF/DKIM/DMARC

  • Уязвимости, которые затрагивают только устаревшие/неподтвержденные браузеры (более старые, чем 2 стабильные версии)

  • Раскрытие информации о версии программного обеспечения, информация о баннерах, следы стека или пространные ошибки

  • Раскрытые уязвимости с пакетами, выпущенными менее 1 месяца назад (рассматриваются отдельно)

  • Тэбнеббинг

  • Уязвимости, требующие активного взаимодействия с пользователем

  • Уязвимости, которые уже известны внутренним командам

  • Рекомендации (например, предложения по улучшению)

  • Уязвимости, связанные с WordPress

  • Заблокирование DLL без демонстрации эскалации привилегий

  • Обход скорости ограничения путем простого изменения IP-адреса или ID устройства

  • Подделка URL-адресов или доменов в мобильных браузерах в приложении (например, в браузерах на основе DApp или WebView)

  • Конфиденциальные данные в социальных сетях

  • Внутренние домены за пределами okx.com, okg.com или oklink.com

  • Клиенты (для ПК/мобильные) не скачаны из официальных источников

  • Утечка подтверждения резервов как чувствительного документа

  • Отчеты, основанные исключительно на статическом анализе бинарных данных без влияния PoC на бизнес-логику

  • Отсутствие обфускации, двоичной защиты, обнаружения корневой системы/снятия ограничения на доступ к файловой системе

  • Обход привязки сертификатов на устройствах с root-доступами или взломанных устройствах

  • Отсутствующие способы уменьшения рисков (например, PIE, ARC, Stack Canaries)

  • Конфиденциальные данные в URL-адресах или телах запросов, защищенные за счет TLS

  • Раскрытие пути в двоичном формате

  • Секреты приложений с жестким кодом и восстанавливаемостью в IPA/APK без влияния на бизнес

  • Конфиденциальные данные, которые хранятся в приватном каталоге приложений

  • Сбои приложения из-за неправильно сформированных схем URL-адресов или экспортированных компонентов

  • Использование уязвисомтей в режиме выполнения, которые возможны только в среде с root-доступом и с отказом в системе безопасности (например, через Frida)

  • Утечка отправленных ссылок через буфер обмена

  • Утечка URI, вызванная вредоносными приложениями с разрешениями

  • Раскрытие API-ключей без подтвержденного влияния на безопасность (например, API-ключи Google Maps или ключи, найденные в наших общедоступных репозиториях GitHub)

  • Сторонние сервисы (если это прямо не разрешено)

  • Услуги, не принадлежащие OKX (например, уязвимости облачных поставщиков)

Общие правила

  • Сообщите первыми о уязвимости.

  • Предоставьте четкий PoC с шагами воспроизведения.

  • Избегайте тестов, которые затрагивают реальные аккаунты пользователей.

  • Не используйте механизмы типа отказ в обслуживании, спам и социнженерия.

  • Не пытайтесь получить доступ к пользовательским данным и их изменению без разрешения.

Разрешение апелляций

Если у вас есть какое-либо мнение или предложение касательно процесса подачи отчета, уровней и оценки риска, обратитесь в нашу службу поддержки.