Типи й рівні відгуків

Опубліковано 4 серп. 2025 р.Оновлено 26 вер. 2025 р.2 хв читання

Після того, як користувач надіслав відгук, він повинен дочекатися результатів розгляду. Коли користувач схвалить результати розгляду, він отримає нагороду за відповідний рівень. Примітка. Ця програма нагород доступна лише для користувачів, включених до білого списку.

Шаблон надання інформації про вразливість

  1. Пакет даних про вразливість або URL (текст, без великих літер) або кроки операції (наприклад, Налаштування -> Особиста інформація -> Проблема із завантаженням зображення).

  2. Уразливості щодо навантаження.

  3. Доказ ризику вразливості (ставка залежить від рівня ризику).

Дефекти й пропозиції

Серйозні помилки (100 USDT)

  1. Неможливо виконати важливі функції (наприклад, транзакції не завершуються, ордери не можуть бути розміщені).

  2. Помилка поширюється й впливає на нормальну роботу інших важливих функцій.

  3. Збої, зависання й нескінченні цикли, викликані нестандартними операціями (наприклад, операціями, які користувачі не виконуватимуть під час використання програмного забезпечення).

  4. Зовнішні дефекти (наприклад, спотворення, стиснення або деформація зображення).

  5. Проблеми безпеки, що призводять до витоку даних (наприклад, витік особистої інформації акаунта внаслідок зловмисних атак).

Загальні помилки (30 USDT)

Дефекти, що не впливають на роботу продукту й не призводять до збоїв, але мають значний вплив на зовнішній вигляд продукту або наступні процеси.

  1. Вторинні функції неможливо нормально виконати.

  2. Помилки інтерфейсу (наприклад, невідповідність значень стовпців і описів у вікні даних).

  3. Помилка запиту або відображення даних.

  4. Прості обмеження введення не встановлено в інтерфейсі користувача для контролю; (наприклад, судження про відображення формату під час входу й реєстрації має бути включене в інтерфейс користувача).

Помилки відображення (10 USDT)

Дисплеї мають неналежний вигляд і не відповідають поведінці користувачів.

  1. Інтерфейс розроблений неналежним чином.

  2. Опис або інструкція для конкретної функції нечіткі.

Мова

Мовні труднощі (10 USDT)

  1. В копії інтерфейсу користувача міститься граматична помилка.

  2. Неправильне використання пунктуації.

  3. Одруківки.

  4. Незрозумілий зміст.

Правила щодо помилок безпеки та відповідність вимогам

Наша програма «злови баг — отримай премію» передбачає п’ять рівнів загроз безпеці: критичний, дуже високий, високий, середній і низький ризики. Етичний хакер отримає винагороду до 1 000 000 USDT як стимул допомогти нам виявити можливі вразливості. Завдяки цій програмі ми сподіваємося зробити нашу торгову платформу максимально стабільною та надійною для всіх користувачів.

Рівень ризику

Уразливості класифікуються за п’ятьма рівнями залежно від можливої небезпеки, а саме: надзвичайний, критичний, високий, середній і низький. OKX визначатиме серйозність виявленої вразливості за наведеними нижче критеріями.

Надзвичайний (лише Web3)

Критерії: впливають на всіх користувачів, >60 мін. часу простою або >$500 тисяч потенційних збитків.

  • Масове викрадення коштів/приватних ключів без участі користувачів або широкомасштабні витоки даних.

Критичний

Web2

  • Віддалене виконання коду (RCE): виконання довільного коду на серверах OKX.

  • SQL-ін’єкція (Core DB): широкомасштабний доступ/модифікація даних в основній продуктивній базі даних OKX.

  • Перехоплення адміністративного бекенду: набуття критичних адміністративних привілеїв.

  • Масове захоплення акаунтів: системне захоплення великої частини акаунтів користувачів, що зазвичай впливає на >50% користувачів.

  • Запуск системних команд: виконання команд ОС на серверах.

Мобільний

  • Віддалене використання вразливостей: порушення цілісності застосунку або запуск коду на інфраструктурі OKX.

  • Масовий витік даних: несанкціонований доступ до великих обсягів користувацьких даних через вразливості програми.

  • Отримання привілеїв адміністратора: отримання адміністративного доступу до сервера через мобільні вектори.

  • Виконання системних команд: виконання команд операційної системи на серверах програм.

  • Ін’єкція SQL/NoSQL: атака через мобільні кінцеві токчи API, яка змінює запити до бекенду й призводить до масового витоку чи модифікації конфіденційних даних (персональні дані, фінансова інформація, облікові дані) або до зламу бекенд-системи.

Десктоп-клієнти

  • Віддалене виконання коду (RCE): виконання довільного коду на клієнті або на підключеному сервері через десктопний додаток.

  • Отримання права адміністратора: отримання адміністративного контролю на сервері через клієнта (наприклад, SSRF на стороні сервера).

  • Виконання системних команд: виконання команд операційної системи на клієнті або на бекенд-сервері через неправильну конфігурацію або небезпечну обробку вводу.

Web3

Критерії: впливають на >50% користувачів, >15 мін. час простою або >$100 тис. потенційних збитків.

  • Віддалене використання вразливості на валідаторах/контрактах або захоплення прав адміністратора.

Високий

Web2

  • Stored XSS: саморозповсюджуваний міжсайтовий скриптинг на критичних сторінках.

  • CSRF (критичні дії): CSRF, що призводить до зламу акаунта або несанкціонованих дій з активами.

  • Масовий доступ до акаунтів: несанкціонований доступ до великої кількості користувацьких акаунтів через помилки в логіці автентифікації або авторизації.

  • SQL-ін’єкція (локально): видобуток вибіркових чутливих даних.

  • Витік вихідного коду: розкриття значної частини бекенд- або внутрішнього вихідного коду.

  • SSRF (залежно від контексту): атака SSRF, яка досягає внутрішніх служб; рівень її небезпеки визначається тим, який внутрішній доступ було отримано.

Мобільний

  • CSRF (критичні дії): CSRF, що призводить до зламу акаунта або несанкціонованих дій з активами.

  • SSRF (залежно від контексту): отримання доступу до внутрішніх систем або служб за допомогою мобільних точок доступу.

  • Розкриття конфіденційних даних: витік зашифрованої або конфіденційної інформації, що зберігається в програмі або обробляється нею.

  • Збої транзакцій: помилки програми, що перешкоджають процесам торгівлі, внесення депозитів або виведення коштів.

  • Логічні помилки (вплив на кошти): використання логіки застосунку для маніпулювання балансами або здійснення несанкціонованих транзакцій.

  • Витік вихідного коду: розкриття важливого вихідного коду програми.

  • Несанкціоновані операції: здійснення несанкціонованих транзакцій або фінансових операцій через вразливість програми.

Десктоп-клієнти

  • CSRF (захоплення акаунта або переказ коштів): підроблені клієнтські запити, що призводять до виконання критичних автентифікованих дій.

  • SSRF (контекстовий вплив): підроблені запити від програми до внутрішніх сервісів.

  • Розкриття конфіденційних даних: розкриття зашифрованих сід-ф'ючерсів або місцевих конфіденційних даних через функціональність програми.

  • Перебої в роботі транзакцій: збої на стороні клієнта, які перешкоджають процесам торгівлі та здійсненню справжніх операцій з внесення депозитів або виведення коштів.

  • Логічні збої (вплив на кошти): використання логіки клієнта для маніпулювання балансом акаунта або поведінки переказу.

Web3

Критерії: впливають на >30% користувачів, >10 мін. часу простою або >50 тис. доларів потенційних збитків.

  • Проблеми з валідаторами, збої в логіці коштів або витоки коду.

Середній

Web2

  • Збережний XSS (потребує взаємодії): самостійно збережений скриптинг, що спрацьовує лише при дії користувача.

  • CSRF (некритичні бізнес-операції): CSRF, який впливає на некритичні дії в бізнес-процесах.

  • Автентифікаційний обхід (обмежений): несанкціонований доступ до серверної частини або даних користувачів без фінансового впливу.

  • Захоплення піддоменів: контроль невикористаних піддоменів із репутаційним ризиком або ризиком фішингу.

  • Недоліки коду перевірки: недоліки в логіці перевірки для входу або скидання пароля.

  • Розкриття конфіденційних даних: розкриття зашифрованих або внутрішніх даних користувачів через доступні інтерфейси.

  • Облікові дані у відкритому вигляді: вшиті у вихідний код або конфігураційні файли (крім API-ключів).

Мобільний

  • Збережений XSS (з взаємодією): постійний міжсайтовий скриптинг у компонентах мобільного застосунку, який потребує дії користувача для активації.

  • CSRF (некритичні бізнес-операції): підробка міжсайтових запитів, що зачіпає некритичну бізнес-логіку.

  • Обхід автентифікації (обмежений): несанкціонований доступ до даних або налаштувань користувачів без фінансових наслідків.

  • Витоки місцевого сховища: розкриття конфіденційних даних, що зберігаються в програмі, таких як токени сеансу або зашифровані облікові дані.

  • Проблеми верифікації: вразливості в механізмах одноразових паролів (OTP), входу або скидання доступу через недостатню валідацію або відсутність обмеження частоти запитів.

  • Облікові дані у відкритому вигляді: захардкоджені секрети у файлах застосунку (крім API-ключів).

Десктоп-клієнти

  • CSRF (некритичні бізнес-операції): підробка неконфіденційних дій клієнта, таких як зміни налаштувань.

  • Обхід аутентифікації (обмежений): отримання несанкціонованого доступу до конфігурацій користувацького рівня або обмежений перегляд клієнта.

  • Витоки локального сховища: розкриття даних, що можуть бути використані для атаки (наприклад, сесійні токени чи секрети автентифікації), які зберігаються клієнтом без належного захисту або контролю доступу.

  • Облікові дані у відкритому вигляді: захардкоджені секрети (крім API-ключів), вбудовані в клієнтські конфігурації чи виконувані файли.

Web3

Критерії: потребують взаємодії або мають обмежену сферу дії

  • Атаки на гаманець, що вимагають взаємодії, або збої транзакцій.

Низький

Web2

  • Reflected XSS: непостійний XSS у рядках URL або параметрах запитів.

  • DOM/Flash XSS: клієнтський міжсайтовий скриптинг без взаємодії з бекендом.

  • Open Redirects: перенаправлення на сторонні сайти без належної валідації.

  • Загальні витоки інформації: розкриття внутрішніх шляхів, каталогів або інтерфейсів налагодження.

  • Common CSRF: експлуатація некритичних користувацьких дій через міжсайтове підроблення запитів.

  • Маніпуляція HTTP-заголовками: зміна заголовків з незначним впливом, наприклад, поведінка кешу або перенаправлення.

Мобільний

  • Витік компонентів: випадкове відкриття компонентів програми (наприклад, операції з Android чи сервіси iOS).

  • Відкриті перенаправлення: неперевірені редиректи у потоках програми.

  • Проблеми з заголовком HTTP: незначна маніпуляція заголовком із незначним впливом.

Десктоп-клієнти

  • Місцевий механізм DoS: руйнує десктопний додаток через неправильно сформовані файли або дані.

  • Незначні помилкові налаштування: виявлення тимчасових або локальних файлів без конфіденційних даних або прямої можливості використання.

Web3

Критерії: незначний вплив чи низька ймовірність використання.

  • Збої стабільності ноди чи незначні витоки.

Додаткові рекомендації

  • IDOR: слід довести процес виявлення ID, а не обмежуватися brute force-атакою.

  • Мобільні застосунки: повідомляйте про кожну вразливість лише один раз для всіх платформ (iOS/Android).

  • Дублікати: однакова проблема в кількох активах = один звіт.

  • Звіти з хибними спрацюваннями, багами з низьким бізнес-впливом або тими, що не експлуатуються, не винагороджуються, але можуть бути відзначені.

Не входить до сфери розгляду

  • Повідомлення з автоматизованих інструментів або сканерів.

  • Хибне спрацьовування SQL-ін’єкції без працюючого PoC, яке демонструє витяг імені БД/користувача.

  • Уразливості до спаму, підробка пошти, поштова бомба тощо.

  • Self-XSS (самостійний запуск зловмисного сценарію).

  • Використання відомих вразливих бібліотек/компонентів без працездатного PoC.

  • Клікджекінг (підміна інтерфейсу користувача) на сторінках, де не вводяться конфіденційні дані.

  • Підробка міжсайтового запиту (CSRF) на формах без автентифікації або некритичних формах.

  • Атаки, які потребують виконання MITM, отримання прав root/jailbreak або фізичного доступу до пристрою користувача.

  • Раніше відомі вразливі бібліотеки без робочого підтвердження PoC.

  • CSV-ін’єкція без демонстрації експлуатації.

  • Відсутність найкращих практик SSL/TLS (наприклад, слабке шифрування, застарілі версії протоколів).

  • Атаки відмови в обслуговуванні (DoS) або спроби порушення доступності сервісу.

  • Підміна вмісту або інʼєкція тексту без зміни HTML/CSS і без вказаного вектору атаки.

  • Проблеми з обмеженням швидкості або застосуванням грубої сили в кінцевих точках, де не передбачено автентифікацію.

  • Відсутність найкращих практик Content Security Policy (CSP).

  • Cookies без встановлених атрибутів HttpOnly чи Secure.

  • Відсутні або некоректні записи SPF/DKIM/DMARC.

  • Вразливості, актуальні тільки для застарілих/невиправлених браузерів (старіших за 2 останні стабільні версії).

  • Розкриття версії програмного забезпечення, банерної інформації, трасувань стеку або надмірно детальних помилок.

  • Публічні 0-day вразливості з патчами, випущеними менш ніж 1 місяць тому (розгляд індивідуально).

  • Табнаббінг (підробка популярних вебсайтів).

  • Вразливості, що вимагають тривалої взаємодії з користувачем.

  • Вразливості, уже відомі внутрішнім командам.

  • Рекомендації щодо найкращих практик (наприклад, поради з підсилення захисту).

  • Вразливості, пов’язані з Wordpress.

  • Перехоплення DLL без демонстрації підвищення привілеїв.

  • Обхід обмежень частоти запитів простим зміненням IP-адреси або ID пристрою.

  • Підміна адресного рядка, URL або домену у вбудованих мобільних браузерах (наприклад, dApp-або WebView-браузери).

  • Розкриття конфіденційних даних у соціальних мережах.

  • Внутрішнє захоплення домену за межами okx.com, okg.com або oklink.com.

  • Клієнти (на комп'ютері/мобільному пристрої) не завантажені з офіційних джерел.

  • Звіт про резерви (Proof of Reserves), класифікований як витік «конфіденційного документа».

  • Звіти, засновані лише на статичному аналізі бінарних файлів без впливу PoC на бізнес-логіку.

  • Брак обфускації, захисту бінарних файлів або виявлення джейлбрейку/рут-доступу.

  • Обхід перевірки прив’язки сертифікатів на пристроях із рут-доступом або джейлбрейком.

  • Відсутність пом'якшення експлойтів (наприклад, PIE, ARC, Stack Canaries).

  • Конфіденційні дані в URL-адресах або текстах запитів, якщо вони захищені TLS.

  • Розкриття шляхів у двійковому коді.

  • Таємниці програм, закодовані або відновлювані в IPA/APK без впливу на діяльність.

  • Конфіденційні дані, що зберігаються в каталозі приватних додатків.

  • Аварійне завершення роботи застосунку через неправильно сформовані URL-схеми або експортовані компоненти.

  • Використання вразливостей під час виконання, можливе тільки на пристроях із рут-доступом або джейлбрейком (наприклад, із використанням Frida).

  • Витік спільних посилань через буфер обміну.

  • Витоки URI, викликані шкідливими програмами з дозволами.

  • Розкриття ключів API без підтверджених впливів на безпеку (наприклад, ключі API Google Maps або ключі, які можна знайти в наших публічних сховищах GitHub).

  • Сторонні сервіси (якщо немає прямого дозволу).

  • Послуги, що не належать OKX (наприклад, вразливості постачальника хмарних послуг).

Загальні правила

  • Повідомляйте про вразливість першими.

  • Надайте чітке підтвердження PoC з кроками відтворення.

  • Уникайте тестування, якщо це стосується реальних акаунтів користувачів.

  • Не виконуйте таких дій, як відмова в обслуговуванні, спам або соціальної інженерії.

  • Не намагайтеся отримувати доступ до даних користувачів чи змінювати їх без дозволу.

Вирішення спірних питань

Якщо у вас є відгуки щодо процесу звітування, рівнів і рейтингу ризику, звʼяжіться з нашою службою підтримки за негайною підтримкою.