反馈类型与分级

发布于 2025年8月4日更新于 2025年9月26日阅读时长 8 分钟

在用户提交反馈后,需要等待审核结果。当用户确认审核结果后,将获得对应等级的奖励。
注意:该奖励计划仅适用于白名单用户。

漏洞提交模板

  1. 漏洞请求包或链接(需文本形式,不可使用截图),或详细操作步骤,例如:【设置】 → 【 个人信息】 → 【 图片上传问题】。

  2. 漏洞利用代码。

  3. 漏洞风险证明(将根据风险等级进行评估)。

缺陷与建议

严重错误(奖励 100 USDT)

1)重要功能不能实现(例如:没有完成交易、无法下单等)2)错误的波及面广,影响到其他重要功能正常实现3)非常规操作导致的程序崩溃、死机、死循环(例如:用户使用软件时不会进行的操作)4)外观难以接受的缺陷(例如:图片的失真、压缩,完全变形E)5)造成数据泄漏的安全性问题(例如:恶意攻击造成的账户私密信息泄露)

一般错误(奖励 30 USDT)

不影响产品的运行、不会成为故障的起因、但对产品外观或下道工序影响较大的缺陷1)次要功能不能正常实现2)操作界面错误(例如:数据窗口内列名与列名下的内容意思不一致)3)查询错误、数据错误显示4)简单的输入限制未放在前端进行控制(例如登录和注册时应启用格式显示判断功能)

显示错误(奖励 10 USDT)

显示不合理,不符合用户使用习惯:1. 界面设计不规范。2.辅助说明描述不清楚

语言问题

语言错误(奖励 10 USDT)

1)界面文案语法错误2)标点符号使用错误3)错别字4)令人困惑的内容

安全漏洞规则与适用范围

我们的漏洞赏金计划分为五个安全风险等级极高、严重、高、中、低。白帽们如能帮助我们发现各种可能的漏洞,最高奖励可达 1,000,000 USDT。 我们希望通过这个系统,为所有用户构建一个更加稳定可靠的交易环境。

风险等级(Risk level)

漏洞按潜在危害分为五个等级:极高、严重、高、中、低。欧易将根据下列标准评估上报漏洞的严重性:

极高(仅限 Web3)

判定标准:影响全部用户、停机时间超过 60 分钟,或潜在损失超过 50 万美元。

  • 零交互式大规模资金/私钥被攻破,或发生大规模数据泄露。

严重


Web2

  • 远程代码执行:可在 欧易服务器上执行任意代码。

  • SQL 注入(核心数据库):在 欧易的核心生产数据库中大规模访问或修改数据。

  • 管理员权限接管:获取关键管理员权限。

  • 大规模账户接管:系统性接管大量用户账户,通常影响 >50% 的用户。

  • 系统命令执行:在服务器上执行操作系统命令。


移动端

  • 远程利用:远程破坏应用完整性或在欧易基础架构上执行代码。

  • 大规模数据泄露:通过应用程序漏洞未经授权访问大量用户数据。

  • 管理员权限接管:通过移动渠道获取后端管理权限。

  • 系统命令执行:在应用服务器上执行操作系统命令。

  • SQL/非关系型数据库注入:利用移动端 API 接口操纵后端数据库查询,导致敏感数据(个人身份信息、财务信息、凭证)的大规模外泄或篡改,或导致后端系统被攻破。


桌面客户端

  • 远程代码执行(RCE):通过桌面应用在客户端或关联服务器上执行任意代码。

  • 管理员权限接管:通过客户端(例如,服务器端SSRF)获得后端管理控制。

  • 系统命令执行:因配置错误或不安全的输入处理而在客户端或后端服务器上执行操作系统命令。


Web3
判定标准:影响 >50% 的用户、停机时间超过 15 分钟,或潜在损失超过 10 万美元。

  • 针对验证器(validator)或智能合约的远程利用,或后台管理权限被接管。

Web2

  • 存储型 XSS 蠕虫:在关键面向用户的页面上自我复制的跨站脚本。

  • CSRF(关键操作):导致账户被攻破或未经授权的资产操作的跨站请求伪造。

  • 大规模账户访问:由于身份验证或授权逻辑中的缺陷,未经授权访问多个用户账户。

  • 有限范围的 SQL 注入:提取特定敏感数据。

  • 源码泄露:暴露重要的后端或内部源代码。

  • SSRF(情境影响):能访问内部服务的 SSRF(其严重性取决于所能达到的内部访问影响)。


移动端

  • CSRF(关键操作):导致账户被攻破或未授权资产操作的 CSRF。

  • SSRF(情境影响):通过移动端接口访问内部系统或服务的 SSRF。

  • 敏感数据泄露:泄露应用程序存储或处理的加密或敏感信息。

  • 交易中断:影响交易、充值或提现流程的应用缺陷。

  • 逻辑缺陷(影响资金):利用应用逻辑操作余额或执行未授权交易。

  • 源码泄露:暴露重要的应用源码。

  • 未授权操作:通过应用漏洞执行未授权的交易或金融操作。


桌面客户端

  • CSRF(账户接管或资金转移):伪造客户端请求导致关键的已授权操作。

  • SSRF(情境影响):客户端向内部服务发送伪造请求。

  • 敏感数据泄露:通过客户端功能暴露加密种子或本地敏感数据。

  • 交易中断:客户端缺陷阻止正常交易、充值或提现。

  • 逻辑缺陷(影响资金):利用客户端逻辑操作账户余额或转账行为。


Web3
判定标准:影响 >30% 的用户、停机时间超过 10 分钟,或潜在损失超过 5 万美元。

  • 验证者问题、资金逻辑缺陷或代码泄露等。

Web2

  • 存储型 XSS(需交互触发):持久型跨站脚本,需要用户交互后触发。

  • CSRF(核心业务):针对非关键业务操作的跨站请求伪造。

  • 有限范围的认证绕过:未经授权访问后端或用户数据,但不产生直接财务影响。

  • 子域接管:控制未使用子域,带来声誉或钓鱼风险。

  • 验证码缺陷:登录或重设密码流程中验证逻辑的弱点。

  • 敏感数据暴露:通过可访问接口泄露加密或内部用户数据。

  • 明文凭证:源码或配置文件中存在硬编码凭证(不包括 API 密钥)。


移动端

  • 存储型 XSS(需交互触发):需要用户交互的移动端持久型 XSS。

  • CSRF(核心业务):针对非关键业务逻辑的 CSRF。

  • 有限范围的认证绕过:未造成财务影响的未授权访问用户数据或配置。

  • 本地存储泄露:泄露存储在应用内的敏感数据,例如会话令牌、加密凭证。

  • 验证流程缺陷:OTP、登录或重置机制的验证或速率限制不足。

  • 明文凭证:应用文件中硬编码的敏感信息(不含 API 密钥)。


桌面客户端

  • CSRF(核心业务):伪造非敏感客户端动作,例如设置更改。

  • 有限范围的认证绕过:获取对用户级配置或受限客户端视图的未授权访问。

  • 本地存储泄露:暴露客户端存储的可利用数据例如会话令牌、认证秘密,缺乏保护或访问控制。

  • 明文凭证:客户端配置或二进制中嵌入的硬编码秘密(不包括 API 密钥)。


Web3
判定标准:需要用户交互或影响范围有限。

  • 基于交互的钱包利用或交易流程中断等。

Web2

  • 反射型 XSS:非持久型跨站脚本,出现在 URL 或参数中。

  • DOM/Flash XSS:仅客户端发生、与后端无交互的跨站脚本。

  • 开放重定向:在缺乏有效验证的情况下,将用户重定向至外部域名。

  • 一般信息泄露:暴露内部路径、目录或调试接口。

  • 常见 CSRF:针对非敏感用户操作的跨站请求伪造攻击。

  • HTTP 头部操控:修改影响较小的 HTTP 标头,例如缓存或重定向。


移动端

  • 组件暴露:意外暴露应用组件,例如导出的 Android 活动或 iOS 服务。

  • 开放重定向:应用流程中未验证的重定向。

  • HTTP 头部问题:轻微的标题操作,影响可以忽略不计。


桌面客户端

  • 本地拒绝服务:通过畸形文件或输入导致桌面应用崩溃。

  • 次要配置错误:暴露临时或本地文件但不包含敏感数据或可直接利用的内容。


Web3
判定标准:影响或可利用性极小。

  • 节点稳定性问题或轻微信息泄露。

附加指南

  • IDOR:必须展示 ID 的发现路径,而不仅仅依赖暴力破解。

  • 移动端报告:跨平台(iOS/Android)同一漏洞仅需提交一次。

  • 重复报告:同一问题在多个资产中出现仅计为一次报告。

  • 误报、低业务影响或不可利用漏洞:不会获得奖励,但可被记录或知会。

非奖励范围

以下情况通常不在奖励范围内:

  • 自动化工具或扫描器生成的报告。

  • 误报 SQL 注入:未提供可复现的概念验证来证明能够提取数据库或用户名的情况。

  • 垃圾邮件相关漏洞:如邮件伪造、邮件轰炸等。

  • 自我跨站脚本攻击:用户自身在浏览器中执行恶意脚。

  • 使用已知存在漏洞的库或组件,但未提供可复现漏洞的概念验证。

  • 在无敏感操作的页面上的点击劫持。

  • 针对未认证或低影响表单的 CSRF 报告。

  • 需借助中间人攻击(MITM)、设备越狱/刷机,或对用户设备进行物理访问的攻击。

  • 历史已知存在漏洞的库或组件,但未提供可复现漏洞的概念验证。

  • 未提供可利用示例的 CSV 注入漏洞。

  • 缺失 SSL/TLS 最佳实践(如使用弱加密算法或过时协议版本)。

  • 拒绝服务(DoS)攻击或服务中断尝试。

  • 内容伪造或文本注入,但未伴随 HTML/CSS 修改或攻击向量演示。

  • 非认证接口的速率限制或暴力破解问题。

  • 缺失内容安全策略(CSP)等最佳实践的单纯报告。

  • 缺失 HttpOnly 或 Secure cookie flag 的单独报告。

  • 缺失或无效的 SPF/DKIM/DMARC 记录的单独报告。

  • 仅影响已过期/未打补丁浏览器(比当前稳定版落后超过两版)的漏洞。

  • 软件版本披露、banner 信息、堆栈跟踪或冗长错误信息的单纯报告。

  • 已发布补丁不足 1 个月的公开 0-day(按情况个案审查)。

  • 浏览器标签诱导攻击。

  • 需要不太可能的用户交互才能触发的漏洞。

  • 内部团队已知的漏洞。

  • 仅为最佳实践之建议(例如系统加固建议)而非可复现漏洞。

  • WordPress 相关常见问题。

  • 未演示特权提升的 DLL 劫持报告。

  • 通过仅改变 IP 或设备 ID 进行的速率限制绕过。

  • 移动内置浏览器(如 dApp或WebView)中的地址栏、URL 或域名伪造。

  • 社交媒体上的敏感数据泄露。

  • 内部域名接管(不在 okx.com、okg.com、oklink.com 范围之外)。

  • 非官方来源下载的客户端(桌面/移动端)相关报告通常不在奖励范围。

  • 将“储备证明”错误地归类为“敏感文件泄露”的报告。

  • 仅基于二进制静态分析且未提供影响业务逻辑 PoC 的报告。

  • 缺乏混淆、二进制保护或越狱/刷机检测的单独报告。

  • 在已越狱/刷机设备 环境下绕过证书绑定。

  • 缺少漏洞利用缓解措施(例如 PIE、ARC、Stack Canaries)的单独报告。

  • 通过 TLS 保护的请求体或 URL 中的敏感数据。

  • 二进制中的路径泄露。

  • IPA/APK 中硬编码或可恢复的应用密钥,且不影响业务。

  • 仅在私有应用目录中存储的敏感数据。

  • 通过畸形 URL scheme 或导出组件导致的应用崩溃。

  • 仅能在已越狱/刷机环境复现的运行时漏洞(例如需 Frida)通常不在奖励范围。

  • 通过剪贴板泄露的共享链接。

  • 被其他恶意应用滥用权限引起的 URI 泄露。

  • 未演示安全影响的 API Key 或第三方服务凭证泄露(例如公开 GitHub 中的 Google Maps API Key )。

  • 第三方服务问题(除非明确列入范围)。

  • 非欧易自有服务(例如云服务提供商)的漏洞通常不在奖励范围内。

通用规则

  • 首报优先:请确保您为首位报告该漏洞的研究者。

  • 提供明确 PoC:必须附上可复现漏洞的详细步骤与示例。

  • 避免影响真实用户:测试过程中应避免对真实用户账户或数据造成影响。

  • 禁止恶意测试:不得进行拒绝服务攻击、垃圾信息发送或社会工程学行为。

  • 不得未授权访问或修改用户数据:未经许可,不得尝试访问、导出或修改用户数据。

争议解决

如果对提交的漏洞严重性、奖励金额存在分歧,请联系欧易客服团队获得即时帮助。