Typer och nivåer av feedback

Publicerad den 4 aug. 2025Uppdaterad den 26 sep. 202512 min läsning

När användarna har skickat in sin feedback behöver de vänta på resultatet av granskningen. När granskningen är klar måste användarna godkänna resultatet för att få den belöning som motsvarar risknivån. Obs: Detta belöningsprogram är endast tillgängligt för användare som finns på vitlistan.

Mall för anmälan om sårbarheter

  1. Paket för sårbarhetsbegäran eller URL (text, inga skärmbilder) eller steg för att återskapa (t.ex. Inställningar -> Personuppgifter -> Problem med uppladdning av bilder).

  2. Exploateringsdata för säkerhetslucka.

  3. Bevis på sårbarhetsrisk (bedömning görs utifrån risknivå).

Brister och förslag

Allvarliga fel (100 USDC)

  1. Kan inte slutföra viktiga funktioner (t.ex. transaktioner har inte slutförts, ordrar kan inte läggas).

  2. Felet sprider sig och påverkar den normala driften av andra viktiga funktioner.

  3. App-krascher, frysningar och oändliga loopar orsakade av ovanliga operationer (t.ex. åtgärder som användare inte skulle utföra när de använder programvaran).

  4. Defekter som är oacceptabla ur utseendesynpunkt (t.ex. förvrängning, komprimering eller deformation av en bild).

  5. Säkerhetsproblem som orsakar dataläckage (t.ex. läckage av personuppgifter från konton orsakat av skadliga attacker).

Generella fel (30 USDC)

Defekter som inte påverkar produktens funktion eller orsakar fel, men som har stor påverkan på produktens utseende eller nästa steg i processen.

  1. De sekundära funktionerna kan inte utföras som normalt.

  2. Fel i gränssnittet (t.ex. Betydelsen av kolumnnamn och beskrivningar i datafönstret är inkonsekventa).

  3. Förfrågningsfel eller datavisningsfel.

  4. Enkla inmatningsbegränsningar saknas i front-end för kontroll (t.ex. formatvalidering vid inloggning och registrering bör aktiveras i front-end).

Visningsfel (10 USDC)

Skärmarna är inte korrekta och följer inte etablerade användarmönster:

  1. Gränssnittet är inte korrekt utformat.

  2. Beskrivningen eller anvisningarna för en viss funktion är otydliga.

Språk

Språkliga problem (10 USDC)

  1. Grammatiken i användargränssnittet är felaktig.

  2. Felaktig användning av skiljetecken.

  3. Stavfel.

  4. Förvirrande innehåll.

Regler för säkerhetsbuggar och behörighet

Vårt belöningsprogram för buggrapportering består av fem nivåer: extrem, kritisk, hög, medelhög och låg. För att uppmuntra användarna att upptäcka möjliga sårbarheter belönas de med en vit hatt samt upp till 1 000 000 USDT. Med detta system hoppas vi kunna skapa en mer stabil och pålitlig handelsmiljö för alla användare.

Risknivå

Beroende på den potentiella faran klassificeras sårbarheter i fem nivåer: extrem, kritisk, hög, medelhög och låg. OKX kommer att utvärdera allvarlighetsgraden av en rapporterad sårbarhet utifrån följande kriterier:

Extrem (endast Web3)

Kriterier: Påverkar alla användare och resulterar i mer än 60 minuters driftstopp eller mer än 500 000 USD i potentiell förlust.

  • Masskompromettering av medel/privata nycklar som inte kräver någon interaktion från offren eller storskaliga dataintrång.

Kritisk

Web2

  • Fjärrexekvering av kod (Remote Code Execution, RCE): Exekvering av godtycklig kod på OKX servrar

  • SQL-injektion (kärndatabas): Storskalig dataåtkomst/modifiering i OKX centrala produktionsdatabas

  • Övertagande av administratörsbehörigheter i backend: Åtkomst till kritiska administratörsbehörigheter

  • Massövertagande av konton: Systematiskt övertagande av en stor del av användarkontona (som typiskt påverkar 50 % av användarna)

  • Exekvering av systemkommando: Exekvering av operativsystemkommandon på servrarna

Mobil

  • Fjärrstyrd exploatering: Fjärrstyrd kompromettering av app-integritet eller exekvering av kod på OKX infrastruktur.

  • Massdataintrång: Obehörig åtkomst till stora mängder användardata genom fel i applikationen.

  • Övertagande av administrationsbehörigheter: Få administrativ åtkomst till backend via mobila vektorer.

  • Exekvering av systemkommando: Exekvering av operativsystemskommandon på applikationsservrarna.

  • SQL-/NoSQL-injektion: Utnyttjande av mobila API-slutpunkter för att manipulera databasförfrågningar i backend, vilket leder till massexfiltrering/-modifiering av känsliga data (personligt identifierbar information, finansiell information, inloggningsuppgifter) eller kompromettering av backend-system.

Datorklienter

  • Fjärrexekvering av kod (Remote Code Execution, RCE): Exekvering av godtycklig kod på klienten eller ansluten server via datorapplikationen.

  • Övertagande av administratörsbehörighet: Få administrativ kontroll över backend via klienten (t.ex. förfalskning av förfrågningar på serversidan (SSRF)).

  • Exekvering av systemkommando: Exekvering av operativsystemskommandon på klienten eller backend-servern via felkonfigurationer eller osäker hantering av inmatning.

Web3

Kriterier: Påverkar mer än 50 % av användarna och resulterar i mer än 15 minuters driftstopp eller mer än 100 000 USD i potentiell förlust.

  • Fjärrstyrd exploatering av validerare/kontrakt eller administratörsövertagande.

Hög

Web2

  • Lagrade XXS-maskar: Självreplikerande skriptning över flera webbplatser på kritiska sidor som vänder sig till användare.

  • Förfalskning av förfrågningar mellan webbplatser (CSRF) (kritiska åtgärder): CSRF som leder till att konton komprometteras eller obehöriga åtgärder vidtas mot tillgångar.

  • Kontoåtkomst i stor skala: Obehörig åtkomst till flera användarkonton på grund av fel i autentiserings- eller auktoriseringslogiken.

  • SQL-injektion (begränsad): Extrahering av specifika känsliga data

  • Källkodsläckage: Exponering av viktig backend-källkod eller intern källkod

  • Förfalskning av förfrågningar på serversidan (SSRF) (kontextuell påverkan): SSRF som når interna tjänster (allvarlighetsgraden av SSRF beror på vilken effekt den interna åtkomsten har).

Mobil

  • Förfalskning av förfrågningar mellan webbplatser (CSRF) (kritiska åtgärder): CSRF som leder till att konton komprometteras eller obehöriga åtgärder vidtas mot tillgångar.

  • Förfalskning av förfrågningar på serversidan (SSRF) (kontextuell påverkan): SSRF som får åtkomst till interna system eller tjänster via mobila slutpunkter.

  • Exponering av känsliga data: Läckage av krypterad eller känslig information som lagras eller behandlas av appen.

  • Transaktionsstörningar: Fel i applikationen som stör handel, insättningar eller uttag.

  • Logiska fel (påverkar medel): Exploatering av applikationslogik för att manipulera saldon eller utföra obehöriga transaktioner.

  • Källkodsläckage: Exponering av viktig applikationskällkod.

  • Obehöriga operationer: Utförande av obehöriga transaktioner eller finansiella transaktioner genom att utnyttja sårbarheter i appen.

Datorklienter

  • Förfalskning av förfrågningar mellan webbplatser (CSRF) (kontoövertagande eller medelöverföringar): Förfalskade klientförfrågningar som resulterar i kritiska autentiserade åtgärder.

  • Förfalskning av förfrågningar på serversidan (SSRF) (kontextuell påverkan): Förfalskade förfrågningar från appen till interna tjänster.

  • Exponering av känsliga data: Exponering av krypterade seeds eller lokala känsliga data via appfunktioner.

  • Transaktionsstörningar: Buggar på klientsidan som förhindrar giltig handel, giltiga insättningar eller uttag.

  • Logiska fel (påverkar medel): Exploatering av logik på klientsidan för att manipulera kontosaldon eller överföringsbeteenden.

Web3

Kriterier: Påverkar mer än 30 % av användarna och resulterar i mer än 10 minuters driftstopp eller mer än 50 000 USD i potentiell förlust.

  • Problem med validerare, logiska fel i samband med behandling av medel eller kodläckor.

Medelhög

Web2

  • Lagrad XSS (interaktion): Beständig skriptning över flera webbplatser (Cross-Site Scripting) som kräver användarinteraktion för att utlösas.

  • Förfalskning av förfrågningar mellan webbplatser (CSRF) (kärnverksamhet): CSRF som riktar sig mot icke-kritiska affärsåtgärder.

  • Kringgående av autentisering (begränsad): Obehörig åtkomst till backend- eller användardata utan finansiell påverkan.

  • Övertagande av underdomän: Kontroll av oanvända underdomäner som riskerar att skada anseende eller leda till phishing.

  • Verifieringskodfel: Svagheter i logiken för återställning av inloggningsuppgifter eller lösenord.

  • Exponering av känsliga data: Avslöjande av krypterade eller interna användardata via tillgängliga gränssnitt.

  • Inloggningsuppgifter i klartext: Hårdkodade inloggningsuppgifter i källkod eller konfigurationsfiler, exklusive API-nycklar.

Mobil

  • Lagrad XSS (interaktion): Beständig skriptning över flera webbplatser inom mobilappens komponenter som kräver användarinteraktion.

  • Förfalskning av förfrågningar mellan webbplatser (CSRF) (kärnverksamhet): Förfalskning av förfrågningar mellan flera webbplatser som riktar sig mot icke-kritisk verksamhetslogik.

  • Kringgående av autentisering (begränsad): Obehörig åtkomst till användardata eller konfigurationer utan finansiell påverkan.

  • Lokala lagringsläckor: Avslöjande av känsliga data som lagras i appar, såsom sessionstokens eller krypterade inloggningsuppgifter.

  • Verifieringsfel: Svagheter i OTP, inloggning eller återställningsmekanismer på grund av otillräcklig validering eller hastighetsbegränsning.

  • Inloggningsuppgifter i klartext: Hårdkodade hemligheter i appfiler, exklusive API-nycklar.

Datorklienter

  • Förfalskning av förfrågningar mellan webbplatser (CSRF) (kärnverksamhet): Förfalskning av icke-känsliga klientåtgärder, såsom ändringar av inställningar.

  • Kringgående av autentisering (begränsad): Obehörig åtkomst till konfigurationer på användarnivå eller begränsade klientvyer.

  • Lokala lagringsläckor: Exponering av exploateringsbara data lagrade av klienten, såsom sessionstokens eller autentiseringshemligheter, utan adekvat skydd eller åtkomstkontroll.

  • Inloggningsuppgifter i klartext: Hårdkodade hemligheter (exklusive API-nycklar) inbäddade i klientkonfigurationer eller binärfiler.

Web3

Kriterier: Kräver interaktion eller begränsad omfattning.

  • Interaktionsbaserade exploateringar av plånböcker eller störningar av transaktioner.

Låg

Web2

  • Reflekterad XSS: Icke-beständig skriptning över flera webbplatser i URL:er eller parametrar.

  • DOM/Flash XSS: Skriptning över flera webbplatser på klientsidan utan backend-interaktion.

  • Öppna omdirigeringar: Omdirigering av användare till externa domäner utan validering.

  • Allmänna informationsläckor: Exponering av interna sökvägar, kataloger eller felsökningsgränssnitt.

  • Vanlig förfalskning av förfrågningar mellan webbplatser (CSRF): CSRF som riktar sig mot icke-känsliga användaråtgärder.

  • Manipulering av HTTP-huvud: Ändring av huvudet med liten påverkan, såsom cache-beteende eller omdirigeringar.

Mobil

  • Exponering av komponenter: Oavsiktlig exponering av appkomponenter, såsom exporterade Android-aktiviteter eller iOS-tjänster.

  • Öppna omdirigeringar: Ogiltiga omdirigeringar i appflöden.

  • Problem med HTTP-huvud: Mindre manipulering av huvudet med försumbar inverkan.

Datorklienter

  • Lokal DoS: Krasch av datorappen via felaktiga filer eller inmatningar.

  • Mindre felkonfigurationer: Exponering av tillfälliga eller lokala filer utan känslig information eller direkt exploaterbarhet.

Web3

Kriterier: Minimal påverkan eller exploaterbarhet.

  • Problem med nodstabilitet eller mindre läckor.

Ytterligare riktlinjer

  • Osäkra direkta objektreferenser (IDOR): Måste påvisa ID-upptäcktsväg, inte bara brute force.

  • Mobil: Rapportera en gång per sårbarhet på olika plattformar (iOS/Android).

  • Duplikater: Samma problem i flera tillgångar = en rapport.

  • Falska positiva resultat, låg påverkan på verksamheten eller buggar som inte kan exploateras belönas inte, men kan komma att uppmärksammas.

Omfattas ej

  • Rapporter från automatiserade verktyg eller skannrar

  • Falska positiva SQL-injektioner utan fungerande PoC som visar extrahering av databas-/användarnamn

  • Sårbarheter i skräppost, e-postförfalskning, e-postbomb osv.

  • Själv-XSS

  • Användning av kända sårbara bibliotek/komponenter utan fungerande PoC

  • Klickkapning på sidor utan känsliga åtgärder

  • Förfalskning av förfrågningar mellan webbplatser (Cross-Site Request Forgery, CSRF) på oautentiserade formulär eller formulär med låg påverkan

  • Attacker som kräver mannen-i-mitten (MITM), rot/jailbreak eller fysisk åtkomst till användarens enhet

  • Tidigare kända sårbara bibliotek utan fungerande PoC

  • CSV-injektion utan att demonstrera exploatering

  • Bästa praxis för SSL/TLS saknas (t.ex. svaga krypteringsalgoritmer, protokollversioner)

  • Försök till överbelastningsattack (DoS) eller driftstörning

  • Förfalskning av innehåll eller textinjektion utan HTML/CSS-modifiering eller attackvektor

  • Problem med hastighetsbegränsning eller brute-force på icke-autentiserade slutpunkter

  • Bästa praxis för innehållssäkerhetspolicy saknas

  • HttpOnly- eller Secure-cookieflaggor saknas

  • SPF-/DKIM-/DMARC-poster saknas eller är ogiltiga

  • Sårbarheter som endast påverkar föråldrade/opatchade webbläsare (äldre än två stabila versioner)

  • Information om programvaruversion, banner, stack-spårning och utförliga felmeddelanden

  • Offentliga 0-dagar med patchar som släpptes för mindre än 1 månad sedan (från fall till fall)

  • Tabnabbing

  • Sårbarheter som kräver osannolik användarinteraktion

  • Sårbarheter som redan är kända för interna team

  • Rekommendationer om bästa praxis (t.ex. förslag på förstärkt säkerhet)

  • WordPress-relaterade sårbarheter

  • DLL-kapning utan att visa utan att demonstrera utökning av privilegier

  • Kringgående av hastighetsbegränsning genom att helt enkelt ändra IP-adress eller enhets-ID

  • Förfalskning av adressfält, URL eller domän i inbyggda webbläsare (t.ex. dApp- eller WebView-baserade webbläsare)

  • Exponering av känsliga data på sociala medier

  • Interna domänövertaganden utanför okx.com, okg.com, eller oklink.com

  • Klienter (dator/mobil) som inte har laddats ner från officiella källor omfattas inte

  • Reservbevis som rapporteras som läcka av ”känsligt dokument”

  • Rapporter som endast baseras på statisk analys av binärfiler utan att PoC påverkar verksamhetslogiken

  • Avsaknad av obfuskering, binärt skydd eller jailbreak-/rot-detektering

  • Kringgående av certifikatpinning på rotade/jailbreakade enheter

  • Saknade åtgärder mot exploatering (t.ex. PIE, ARC, Stack Canaries)

  • Känsliga data i URL:er eller förfrågningstext när de skyddas av TLS

  • Avslöjande av sökväg i binärfiler

  • Hårdkodade/återställbara apphemligheter i IPA/APK utan påverkan på verksamheten

  • Känsliga data som lagras i privat appkatalog

  • Appkrasch på grund av felaktiga URL-scheman eller exporterade komponenter

  • Exploateringar av körtid som endast är möjliga i en rotad/jailbreakad miljö (t.ex. via Frida)

  • Läckta delade länkar via urklipp

  • URL-läckor orsakade av skadliga appar med behörigheter

  • Exponering av API-nycklar utan påvisad säkerhetspåverkan (t.ex. Google Maps API-nycklar eller nycklar som finns i våra offentliga GitHub-arkiv)

  • Tredjepartstjänster (om inte annat uttryckligen tillåts)

  • Tjänster som inte ägs av OKX (t.ex. sårbarheter hos molntjänstleverantörer)

Allmänna regler

  • Var först med att rapportera sårbarheten.

  • Tillhandahåll en tydlig PoC med steg för att återskapa problemet.

  • Undvik test som påverkar riktiga användarkonton.

  • Utför inte överbelastningsattacker, skicka inte skräppost eller social manipulering.

  • Försök inte komma åt eller ändra användardata utan tillstånd.

Tvistlösning

Om du har feedback om rapporteringsprocessen, risknivåerna och riskbedömningen kan du kontakta vår kundtjänst för att få omedelbar hjälp.