Các loại phản hồi và cấp bậc

Phát hành vào 4 thg 8, 2025Cập nhật vào 26 thg 9, 2025Thời gian đọc: 20 phút

Người dùng cần đợi kết quả sau khi gửi phản hồi. Khi người dùng đồng ý kết quả, họ sẽ nhận được phần thưởng theo bậc tương ứng. Lưu ý: chương trình thưởng này chỉ dành cho người dùng trong whitelist.

Mẫu báo cáo lỗ hổng bảo mật

  1. Gói yêu cầu hoặc URL (văn bản, không gửi ảnh chụp màn hình) hoặc các bước thao tác (ví dụ: Cài đặt -> Thông tin cá nhân -> Lỗi tải ảnh).

  2. Payload của lỗ hổng.

  3. Bằng chứng rủi ro (mức thưởng tuỳ theo độ nghiêm trọng).

Lỗi & đề xuất

Lỗi nghiêm trọng (100 USDT)

  1. Không thể thực hiện chức năng chính (ví dụ: không thể giao dịch, không thể đặt lệnh).

  2. Lỗi ảnh hưởng đến các chức năng quan trọng khác.

  3. Ứng dụng bị treo, đứng hoặc lặp vô hạn do thao tác bất thường (ví dụ: thao tác người dùng thực tế không thực hiện).

  4. Lỗi hiển thị không thể chấp nhận (ví dụ: hình ảnh bị méo, nén hoặc biến dạng).

  5. Lỗi bảo mật rò rỉ dữ liệu (ví dụ: rò rỉ thông tin cá nhân tài khoản do tấn công độc hại).

Lỗi thông thường (30 USDT)

Lỗi không ảnh hưởng đến hoạt động sản phẩm hay gây gián đoạn, nhưng làm giảm trải nghiệm hoặc ảnh hưởng tới các bước kế tiếp.

  1. Chức năng phụ không hoạt động bình thường.

  2. Lỗi giao diện (ví dụ: tên cột và mô tả trong bảng dữ liệu không nhất quán).

  3. Lỗi truy vấn hoặc hiển thị dữ liệu.

  4. Không có giới hạn định dạng đầu vào ở giao diện người dùng (ví dụ: xác thực định dạng trong đăng nhập/đăng ký nên xử lý ở phía giao diện).

Lỗi hiển thị (10 USDT)

Hiển thị không phù hợp với hành vi người dùng:

  1. Giao diện thiết kế chưa hợp lý.

  2. Mô tả hoặc chỉ dẫn không rõ ràng.

Ngôn ngữ

Lỗi ngôn ngữ (10 USDT)

  1. Văn bản giao diện sai ngữ pháp.

  2. Dấu câu dùng sai.

  3. Lỗi chính tả.

  4. Nội dung gây hiểu nhầm.

Quy tắc & điều kiện lỗi bảo mật

Chúng tôi phân loại lỗi bảo mật theo 5 bậc: cực kỳ nghiêm trọng, nghiêm trọng, cao, trung bình và thấp. Hacker mũ trắng có thể nhận thưởng lên đến 1.000.000 USDT nếu giúp chúng tôi phát hiện ra các lỗ hổng bảo mật tiềm ẩn. Với hệ thống này, chúng tôi kỳ vọng xây dựng môi trường giao dịch ổn định và đáng tin cậy hơn cho tất cả người dùng.

Mức độ rủi ro

Lỗ hổng bảo mật được phân loại dựa trên 5 cấp độ độ rủi ro tiềm ẩn: cực kỳ nghiêm trọng, nghiêm trọng, cao, trung bình và thấp. OKX sẽ đánh giá mức độ dựa trên các tiêu chí sau:

Cực kỳ nghiêm trọng (chỉ áp dụng Web3)

Tiêu chí: Ảnh hưởng toàn bộ người dùng, gián đoạn >60 phút hoặc thiệt hại >500K USD.

  • Lỗi gây mất tiền/khóa riêng diện rộng không cần tương tác, hoặc rò rỉ dữ liệu quy mô lớn.

Nghiêm trọng

Web2

  • Thực thi mã từ xa (RCE): Chạy mã tùy ý trên máy chủ OKX.

  • SQL Injection (Core DB): Truy cập/sửa dữ liệu quy mô lớn trên hệ thống chính của OKX.

  • Chiếm quyền quản trị backend: Truy cập đặc quyền vào hệ thống quản trị.

  • Chiếm quyền hàng loạt: Kiểm soát hệ thống tài khoản người dùng quy mô lớn (>50%).

  • Thực thi lệnh hệ thống: Chạy lệnh OS trên máy chủ ứng dụng.

Ứng dụng điện thoại

  • Tấn công từ xa: Gây lỗi ứng dụng hoặc chạy mã trái phép trên hạ tầng OKX.

  • Rò rỉ dữ liệu quy mô lớn: Truy cập trái phép dữ liệu người dùng do lỗ hổng ứng dụng.

  • Chiếm quyền quản trị: Truy cập quyền quản trị từ phía ứng dụng di động.

  • Thực thi lệnh hệ thống: Chạy lệnh OS trên máy chủ ứng dụng.

  • SQL/NoSQL Injection: Khai thác API để truy cập/sửa dữ liệu nhạy cảm (PII, tài chính, thông tin đăng nhập) hoặc làm tổn hại hệ thống.

Ứng dụng máy tính

  • RCE: Thực thi mã tùy ý trên máy khách hoặc máy chủ thông qua ứng dụng máy tính.

  • Chiếm quyền quản trị: Truy cập quyền quản trị backend qua máy khách hàng (ví dụ: SSRF phía máy chủ).

  • Thực thi lệnh hệ thống: Thực thi lệnh OS trên máy khách hoặc máy chủ do cấu hình sai hoặc xử lý đầu vào không an toàn.

Web3

Tiêu chí: Ảnh hưởng >50% người dùng, gián đoạn >15 phút hoặc thiệt hại >100K USD.

  • Tấn công từ xa vào trình xác thực/hợp đồng thông minh hoặc chiếm quyền quản trị.

Cao

Web2

  • XSS Worm lưu trữ: Tự lan truyền trên các trang quan trọng hướng đến người dùng.

  • CSRF (tác vụ quan trọng): Gây mất quyền truy cập hoặc sử dụng tài sản trái phép.

  • Truy cập hàng loạt tài khoản: Lỗi xác thực hoặc phân quyền cho phép truy cập trái phép nhiều tài khoản.

  • SQL Injection (giới hạn): Trích xuất dữ liệu nhạy cảm cụ thể.

  • Rò rỉ mã nguồn: Lộ mã hệ thống backend hoặc nội bộ quan trọng.

  • SSRF (Tác động ngữ cảnh): SSRF gây truy cập nội bộ (mức độ nghiêm trọng tuỳ theo tác động của việc đạt được quyền truy cập nội bộ.)

Ứng dụng điện thoại

  • CSRF (tác vụ quan trọng): Gây mất quyền truy cập hoặc sử dụng tài sản trái phép.

  • SSRF (Tác động ngữ cảnh): SSRF truy cập hệ thống/dịch vụ nội bộ từ API thiết bị di động

  • Lộ dữ liệu nhạy cảm: Làm rò rỉ thông tin đã mã hóa hoặc nhạy cảm do ứng dụng xử lý.

  • Gián đoạn giao dịch: Lỗi ứng dụng gây gián đoạn nạp, rút, hoặc giao dịch.

  • Lỗi logic (ảnh hưởng tài sản): Khai thác logic để thay đổi số dư hoặc giao dịch trái phép.

  • Rò rỉ mã nguồn: Lộ mã nguồn ứng dụng quan trọng.

  • Thao tác trái phép: Thực hiện giao dịch hoặc thao tác tài chính trái phép qua lỗi ứng dụng.

Ứng dụng máy tính

  • CSRF (chiếm tài khoản/chuyển tiền): Yêu cầu giả mạo gây ra hành vi xác thực nghiêm trọng.

  • SSRF (Tác động ngữ cảnh): gửi yêu cầu từ ứng dụng đến dịch vụ nội bộ.

  • Lộ dữ liệu nhạy cảm: Lộ hạt giống được mã hóa hoặc dữ liệu nội bộ qua tính năng ứng dụng.

  • Gián đoạn giao dịch: Lỗi phía máy khách gây gián đoạn nạp, rút, hoặc giao dịch.

  • Lỗi logic (ảnh hưởng tài sản): Khai thác logic phía máy khách để thay đổi số dư hoặc giao dịch trái phép.

Web3

Tiêu chí: Ảnh hưởng >30% người dùng, gián đoạn >10 phút hoặc thiệt hại >50K USD.

  • Bao gồm sự cố trình xác thực, lỗi logic quỹ hoặc rò rỉ mã nguồn.

Trung bình

Web2

  • XSS lưu trữ (Tương tác): Tập lệnh liên tục giữa các trang web yêu cầu tương tác của người dùng để kích hoạt.

  • CSRF (Core Business): Tấn công CSRF vào các thao tác không quan trọng.

  • Vượt xác thực (giới hạn): Truy cập trái phép dữ liệu backend hoặc người dùng, không ảnh hưởng đến tài sản.

  • Chiếm miền phụ: Kiểm soát tên miền phụ không dùng, tiềm ẩn rủi ro giả mạo.

  • Lỗi mã xác minh: Lỗ hổng trong logic đăng nhập hoặc đặt lại mật khẩu.

  • Rò rỉ dữ liệu nhạy cảm: Dữ liệu người dùng (mã hóa/nội bộ) bị lộ qua giao diện không được bảo vệ.

  • Thông tin đăng nhập dạng văn bản: Mật khẩu lưu cứng trong mã nguồn/tập tin cấu hình (không bao gồm khoá API).

Ứng dụng điện thoại

  • XSS lưu trữ (Tương tác): XSS lưu trữ trong ứng dụng, yêu cầu người dùng kích hoạt.

  • CSRF (Core Business): Tấn công CSRF vào các logic không quan trọng.

  • Vượt xác thực (giới hạn): Truy cập trái phép dữ liệu hoặc cấu hình người dùng, không ảnh hưởng đến tài sản.

  • Rò rỉ dữ liệu lưu trữ cục bộ: Lộ token phiên, mật khẩu mã hóa do không kiểm soát truy cập.

  • Lỗi xác minh: Lỗ hổng trong OTP, đăng nhập, hoặc khôi phục do thiếu xác thực hoặc không giới hạn tần suất.

  • Thông tin xác thực Cleartext: Mật khẩu lưu cứng trong ứng dụng (ngoại trừ khoá API).

Ứng dụng máy tính

  • CSRF (Core Business): Giả mạo các thao tác người dùng, như thay đổi thiết lập.

  • Vượt xác thực (giới hạn): Truy cập trái phép cấu hình hoặc giao diện hạn chế của người dùng.

  • Rò rỉ dữ liệu lưu trữ cục bộ: Lộ dữ liệu do máy khách lưu trữ như token phiên hoặc mã xác thực, mà không được bảo vệ hoặc kiểm soát quyền truy cập đầy đủ.

  • Thông tin xác thực Cleartext: Mật khẩu lưu cứng (ngoại trừ khoá API) trong file trên máy khách hoặc mã nhị phân.

Web3

Tiêu chí: Yêu cầu có tương tác hoặc phạm vi giới hạn.

  • Bao gồm: Khai thác ví dựa trên tương tác hoặc gián đoạn giao dịch.

Thấp

Web2

  • Reflected XSS: Không lưu trữ, xảy ra qua URL hoặc tham số.

  • DOM/Flash XSS: XSS phía client, không tương tác với backend.

  • Chuyển hướng mở: Chuyển hướng đến domain ngoài mà không xác minh.

  • Rò rỉ thông tin nhẹ: Lộ đường dẫn nội bộ, thư mục hoặc giao diện debug.

  • CSRF phổ biến: Nhắm vào hành động không nhạy cảm của người dùng.

  • Thay đổi tiêu đề HTTP: Thay đổi nhỏ như cache hoặc chuyển hướng.

Ứng dụng điện thoại

  • Lộ thành phần ứng dụng: Lộ hoạt động của ứng dụng, chẳng hạn như hoạt động trên Android hoặc dịch vụ trên iOS không mong muốn.

  • Chuyển hướng mở: Chuyển hướng không có xác thực.

  • Lỗi tiêu đề HTTP: Thay đổi nhỏ, ít ảnh hưởng.

Ứng dụng máy tính

  • DoS cục bộ: Crash ứng dụng máy tính do tệp hoặc thông tin đầu vào lỗi.

  • Cấu hình sai nhỏ: Lộ thông tin tạm hoặc nội bộ, không chứa dữ liệu nhạy cảm hay khả năng khai thác.

Web3

Tiêu chí: Khả năng tác động hoặc khai thác rất thấp.

  • Bao gồm sự cố node nhẹ, rò rỉ không nghiêm trọng.

Hướng dẫn bổ sung

  • IDOR: Phải chứng minh đường dẫn tìm ID, không chỉ brute force.

  • Thiết bị di động: Lỗi giống nhau trên iOS và Android chỉ báo cáo một lần.

  • Trùng lặp: Chỉ tính 1 báo cáo cho cùng một lỗi trên nhiều tài sản.

  • Lỗi không đủ điều kiện: Lỗi không khai thác được hoặc ít ảnh hưởng đến tài sản sẽ không được thưởng nhưng có thể được ghi nhận.

Ngoài phạm vi xử lý

  • Báo cáo từ công cụ quét tự động

  • SQL Injection giả (không có PoC trích xuất tên DB/người dùng)

  • Lỗ hổng bảo mật dạng thư rác, thư giả mạo, bom thư, v.v.

  • Self-XSS

  • Sử dụng thư viện/lỗ hổng bảo mật đã biết không có PoC

  • Tiến hành lừa người dùng bấm chuột trên trang không có tác vụ nhạy cảm

  • Giả mạo yêu cầu liên trang (CSRF) đối với biểu mẫu chưa xác thực hoặc ít ảnh hưởng

  • Tấn công cần MITM, root/jailbreak hoặc quyền truy cập vật lý vào thiết bị người dùng

  • Thư viện lỗ hổng bảo mật đã biết từ trước mà không có PoC

  • CSV injection không có minh chứng khai thác

  • Thiếu chuẩn SSL/TLS tốt (ví dụ: mật mã yếu, phiên bản giao thức)

  • Tấn công DoS hoặc gây gián đoạn dịch vụ.

  • Giả mạo nội dung/văn bản mà không cần thay đổi HTML/CSS hoặc vector tấn công.

  • Sự cố giới hạn tốc độ hoặc brute-force trên endpoint không xác thực

  • Thiếu Chính sách Bảo mật Nội dung tốt

  • Thiếu hoặc sai cờ cookie HttpOnly/Secure.

  • Thiếu hoặc sai bản ghi SPF/DKIM/DMARC

  • Lỗi chỉ ảnh hưởng trên trình duyệt lỗi thời/chưa vá lỗi (thấp hơn 2 bản ổn định trước).

  • Rò rỉ phiên bản phần mềm, thông tin banner, dấu vết stack, hoặc lỗi verbose.

  • Công khai 0 ngày có bản vá dưới 1 tháng (tùy từng trường hợp).

  • Tabnabbing

  • Lỗi cần người dùng tương tác hiếm gặp

  • Lỗi đã được đội ngũ nội bộ phát hiện

  • Đề xuất cải tiến (ví dụ: tăng cường bảo mật)

  • Lỗi liên quan đến WordPress.

  • DLL hijacking không có leo thang quyền

  • Vượt giới hạn tốc độ chỉ bằng cách thay đổi IP hoặc thiết bị.

  • Giả mạo địa chỉ/URL/domain trong trình duyệt trên ứng dụng (ví dụ: trình duyệt dựa trên dApp/WebView)

  • Lộ dữ liệu nhạy cảm trên mạng xã hội

  • Chiếm tên miền nội bộ không thuộc okx.com, okg.com hoặc oklink.com

  • Không tải ứng dụng cho máy tính/thiết bị di động từ nguồn chính thức

  • Báo cáo Bằng chứng dự trữ là “rò rỉ tài liệu nhạy cảm”

  • Phân tích tĩnh tệp nhị phân mà không ảnh hưởng logic nghiệp vụ

  • Thiếu biện pháp làm rối mã nguồn, bảo vệ tệp nhị phân hoặc kiểm tra root/jailbreak

  • Bỏ qua chứng chỉ ghim trên thiết bị đã root/jailbreak

  • Thiếu biện pháp khắc phục sự cố khai thác lỗi (Ví dụ: PIE, ARC, Stack Canaries)

  • Dữ liệu nhạy cảm trong URL/nội dung đã được TLS bảo vệ

  • Lộ đường dẫn trong tệp nhị phân

  • Bí mật ứng dụng được mã hóa cứng/có thể khôi phục trong IPA/APK mà không ảnh hưởng đến tài sản

  • Dữ liệu nhạy cảm lưu trong thư mục riêng của ứng dụng

  • Ứng dụng crash do mô hình URL lỗi hoặc thành phần đã xuất

  • Lỗi khai thác thời gian chạy chỉ xảy ra trên thiết bị root/jailbreak (ví dụ: Frida)

  • Rò rỉ liên kết chia sẻ qua bộ nhớ tạm

  • Rò rỉ URI do ứng dụng độc hại có quyền truy cập

  • Rò rỉ khoá API không ảnh hưởng bảo mật (ví dụ: khoá API Google Maps hoặc khoá trên GitHub công khai)

  • Dịch vụ bên thứ ba (trừ khi được chỉ định trước)

  • Lỗi không nằm trong hệ thống do OKX sở hữu (ví dụ: lỗi nhà cung cấp cloud)

Quy định chung

  • Phải là người báo cáo lỗi đầu tiên.

  • Cung cấp PoC rõ ràng và hướng dẫn tái hiện.

  • Tránh thử nghiệm gây ảnh hưởng tài khoản thật.

  • Không thực hiện tấn công DoS, spam, hoặc lừa đảo.

  • Không cố gắng truy cập hoặc sửa đổi dữ liệu người dùng mà không có quyền.

Giải quyết tranh chấp

Nếu bạn có ý kiến về quy trình báo cáo, mức độ rủi ro hoặc cách đánh giá, hãy liên hệ đội ngũ hỗ trợ khách hàng để được hỗ trợ ngay.