反饋類型與分級

發佈於 2025年8月4日更新於 2025年9月26日閱讀時長 8 分鐘

在用戶提交反饋後,需要等待審核結果。當用戶確認審核結果後,將獲得對應等級的獎勵。
注意:該獎勵計劃僅適用於白名單用戶。

漏洞提交模板

  1. 漏洞請求包或鏈接(需文本形式,不可使用截圖),或詳細操作步驟,例如:【設置】 → 【 個人信息】 → 【 圖片上傳問題】。

  2. 漏洞利用代碼。

  3. 漏洞風險證明(將根據風險等級進行評估)。

缺陷與建議

嚴重錯誤(獎勵 100 USDT)

1)重要功能不能實現(例如:沒有完成交易、無法下單等)2)錯誤的波及面廣,影響到其他重要功能正常實現3)非常規操作導致的程序崩潰、死機、死循環(例如:用戶使用軟件時不會進行的操作)4)外觀難以接受的缺陷(例如:圖片的失真、壓縮,完全變形E)5)造成數據洩漏的安全性問題(例如:惡意攻擊造成的賬戶私密信息洩露)

一般錯誤(獎勵 30 USDT)

不影響產品的運行、不會成為故障的起因、但對產品外觀或下道工序影響較大的缺陷1)次要功能不能正常實現2)操作界面錯誤(例如:數據窗口內列名與列名下的內容意思不一致)3)查詢錯誤、數據錯誤顯示4)簡單的輸入限制未放在前端進行控制(例如登錄和註冊時應啟用格式顯示判斷功能)

顯示錯誤(獎勵 10 USDT)

顯示不合理,不符合用戶使用習慣:1. 界面設計不規範。2.輔助說明描述不清楚

語言問題

語言錯誤(獎勵 10 USDT)

1)界面文案語法錯誤2)標點符號使用錯誤3)錯別字4)令人困惑的內容

安全漏洞規則與適用範圍

我們的漏洞賞金計劃分為五個安全風險等級極高、嚴重、高、中、低。白帽們如能幫助我們發現各種可能的漏洞,最高獎勵可達 1,000,000 USDT。 我們希望通過這個系統,為所有用戶構建一個更加穩定可靠的交易環境。

風險等級(Risk level)

漏洞按潛在危害分為五個等級:極高、嚴重、高、中、低。OKX 將根據下列標準評估上報漏洞的嚴重性:

極高(僅限 Web3)

判定標準:影響全部用戶、停機時間超過 60 分鐘,或潛在損失超過 50 萬美元。

  • 零交互式大規模資金/私鑰被攻破,或發生大規模數據洩露。

嚴重


Web2

  • 遠程代碼執行:可在 OKX 服務器上執行任意代碼。

  • SQL 注入(核心數據庫):在 OKX 的核心生產數據庫中大規模訪問或修改數據。

  • 管理員權限接管:獲取關鍵管理員權限。

  • 大規模賬戶接管:系統性接管大量用戶賬戶,通常影響 >50% 的用戶。

  • 系統命令執行:在服務器上執行操作系統命令。


移動端

  • 遠程利用:遠程破壞應用完整性或在 OKX 基礎架構上執行代碼。

  • 大規模數據洩露:通過應用程序漏洞未經授權訪問大量用戶數據。

  • 管理員權限接管:通過移動渠道獲取後端管理權限。

  • 系統命令執行:在應用服務器上執行操作系統命令。

  • SQL/非關係型數據庫注入:利用移動端 API 接口操縱後端數據庫查詢,導致敏感數據(個人身份信息、財務信息、憑證)的大規模外泄或篡改,或導致後端系統被攻破。


桌面客戶端

  • 遠程代碼執行(RCE):通過桌面應用在客戶端或關聯服務器上執行任意代碼。

  • 管理員權限接管:通過客戶端(例如,服務器端SSRF)獲得後端管理控制。

  • 系統命令執行:因配置錯誤或不安全的輸入處理而在客戶端或後端服務器上執行操作系統命令。


Web3
判定標準:影響 >50% 的用戶、停機時間超過 15 分鐘,或潛在損失超過 10 萬美元。

  • 針對驗證器(validator)或智能合約的遠程利用,或後臺管理權限被接管。

Web2

  • 存儲型 XSS 蠕蟲:在關鍵面向用戶的頁面上自我複製的跨站腳本。

  • CSRF(關鍵操作):導致賬戶被攻破或未經授權的資產操作的跨站請求偽造。

  • 大規模賬戶訪問:由於身份驗證或授權邏輯中的缺陷,未經授權訪問多個用戶賬戶。

  • 有限範圍的 SQL 注入:提取特定敏感數據。

  • 源碼洩露:暴露重要的後端或內部源代碼。

  • SSRF(情境影響):能訪問內部服務的 SSRF(其嚴重性取決於所能達到的內部訪問影響)。


移動端

  • CSRF(關鍵操作):導致賬戶被攻破或未授權資產操作的 CSRF。

  • SSRF(情境影響):通過移動端接口訪問內部系統或服務的 SSRF。

  • 敏感數據洩露:洩露應用程序存儲或處理的加密或敏感信息。

  • 交易中斷:影響交易、充值或提現流程的應用缺陷。

  • 邏輯缺陷(影響資金):利用應用邏輯操作餘額或執行未授權交易。

  • 源碼洩露:暴露重要的應用源碼。

  • 未授權操作:通過應用漏洞執行未授權的交易或金融操作。


桌面客戶端

  • CSRF(賬戶接管或資金轉移):偽造客戶端請求導致關鍵的已授權操作。

  • SSRF(情境影響):客戶端向內部服務發送偽造請求。

  • 敏感數據洩露:通過客戶端功能暴露加密種子或本地敏感數據。

  • 交易中斷:客戶端缺陷阻止正常交易、充值或提現。

  • 邏輯缺陷(影響資金):利用客戶端邏輯操作賬戶餘額或轉賬行為。


Web3
判定標準:影響 >30% 的用戶、停機時間超過 10 分鐘,或潛在損失超過 5 萬美元。

  • 驗證者問題、資金邏輯缺陷或代碼洩露等。

Web2

  • 存儲型 XSS(需交互觸發):持久型跨站腳本,需要用戶交互後觸發。

  • CSRF(核心業務):針對非關鍵業務操作的跨站請求偽造。

  • 有限範圍的認證繞過:未經授權訪問後端或用戶數據,但不產生直接財務影響。

  • 子域接管:控制未使用子域,帶來聲譽或釣魚風險。

  • 驗證碼缺陷:登錄或重設密碼流程中驗證邏輯的弱點。

  • 敏感數據暴露:通過可訪問接口洩露加密或內部用戶數據。

  • 明文憑證:源碼或配置文件中存在硬編碼憑證(不包括 API 密鑰)。


移動端

  • 存儲型 XSS(需交互觸發):需要用戶交互的移動端持久型 XSS。

  • CSRF(核心業務):針對非關鍵業務邏輯的 CSRF。

  • 有限範圍的認證繞過:未造成財務影響的未授權訪問用戶數據或配置。

  • 本地存儲洩露:洩露存儲在應用內的敏感數據,例如會話令牌、加密憑證。

  • 驗證流程缺陷:OTP、登錄或重置機制的驗證或速率限制不足。

  • 明文憑證:應用文件中硬編碼的敏感信息(不含 API 密鑰)。


桌面客戶端

  • CSRF(核心業務):偽造非敏感客戶端動作,例如設置更改。

  • 有限範圍的認證繞過:獲取對用戶級配置或受限客戶端視圖的未授權訪問。

  • 本地存儲洩露:暴露客戶端存儲的可利用數據例如會話令牌、認證秘密,缺乏保護或訪問控制。

  • 明文憑證:客戶端配置或二進制中嵌入的硬編碼秘密(不包括 API 密鑰)。


Web3
判定標準:需要用戶交互或影響範圍有限。

  • 基於交互的錢包利用或交易流程中斷等。

Web2

  • 反射型 XSS:非持久型跨站腳本,出現在 URL 或參數中。

  • DOM/Flash XSS:僅客戶端發生、與後端無交互的跨站腳本。

  • 開放重定向:在缺乏有效驗證的情況下,將用戶重定向至外部域名。

  • 一般信息洩露:暴露內部路徑、目錄或調試接口。

  • 常見 CSRF:針對非敏感用戶操作的跨站請求偽造攻擊。

  • HTTP 頭部操控:修改影響較小的 HTTP 標頭,例如緩存或重定向。


移動端

  • 組件暴露:意外暴露應用組件,例如導出的 Android 活動或 iOS 服務。

  • 開放重定向:應用流程中未驗證的重定向。

  • HTTP 頭部問題:輕微的標題操作,影響可以忽略不計。


桌面客戶端

  • 本地拒絕服務:通過畸形文件或輸入導致桌面應用崩潰。

  • 次要配置錯誤:暴露臨時或本地文件但不包含敏感數據或可直接利用的內容。


Web3
判定標準:影響或可利用性極小。

  • 節點穩定性問題或輕微信息洩露。

附加指南

  • IDOR:必須展示 ID 的發現路徑,而不僅僅依賴暴力破解。

  • 移動端報告:跨平臺(iOS/Android)同一漏洞僅需提交一次。

  • 重複報告:同一問題在多個資產中出現僅計為一次報告。

  • 誤報、低業務影響或不可利用漏洞:不會獲得獎勵,但可被記錄或知會。

非獎勵範圍

以下情況通常不在獎勵範圍內:

  • 自動化工具或掃描器生成的報告。

  • 誤報 SQL 注入:未提供可復現的概念驗證來證明能夠提取數據庫或用戶名的情況。

  • 垃圾郵件相關漏洞:如郵件偽造、郵件轟炸等。

  • 自我跨站腳本攻擊:用戶自身在瀏覽器中執行惡意腳。

  • 使用已知存在漏洞的庫或組件,但未提供可復現漏洞的概念驗證。

  • 在無敏感操作的頁面上的點擊劫持。

  • 針對未認證或低影響表單的 CSRF 報告。

  • 需藉助中間人攻擊(MITM)、設備越獄/刷機,或對用戶設備進行物理訪問的攻擊。

  • 歷史已知存在漏洞的庫或組件,但未提供可復現漏洞的概念驗證。

  • 未提供可利用示例的 CSV 注入漏洞。

  • 缺失 SSL/TLS 最佳實踐(如使用弱加密算法或過時協議版本)。

  • 拒絕服務(DoS)攻擊或服務中斷嘗試。

  • 內容偽造或文本注入,但未伴隨 HTML/CSS 修改或攻擊向量演示。

  • 非認證接口的速率限制或暴力破解問題。

  • 缺失內容安全策略(CSP)等最佳實踐的單純報告。

  • 缺失 HttpOnly 或 Secure cookie flag 的單獨報告。

  • 缺失或無效的 SPF/DKIM/DMARC 記錄的單獨報告。

  • 僅影響已過期/未打補丁瀏覽器(比當前穩定版落後超過兩版)的漏洞。

  • 軟件版本披露、banner 信息、堆棧跟蹤或冗長錯誤信息的單純報告。

  • 已發佈補丁不足 1 個月的公開 0-day(按情況個案審查)。

  • 瀏覽器標籤誘導攻擊。

  • 需要不太可能的用戶交互才能觸發的漏洞。

  • 內部團隊已知的漏洞。

  • 僅為最佳實踐之建議(例如系統加固建議)而非可復現漏洞。

  • WordPress 相關常見問題。

  • 未演示特權提升的 DLL 劫持報告。

  • 通過僅改變 IP 或設備 ID 進行的速率限制繞過。

  • 移動內置瀏覽器(如 dApp或WebView)中的地址欄、URL 或域名偽造。

  • 社交媒體上的敏感數據洩露。

  • 內部域名接管(不在 okx.com、okg.com、oklink.com 範圍之外)。

  • 非官方來源下載的客戶端(桌面/移動端)相關報告通常不在獎勵範圍。

  • 將“儲備證明”錯誤地歸類為“敏感文件洩露”的報告。

  • 僅基於二進制靜態分析且未提供影響業務邏輯 PoC 的報告。

  • 缺乏混淆、二進制保護或越獄/刷機檢測的單獨報告。

  • 在已越獄/刷機設備 環境下繞過證書綁定。

  • 缺少漏洞利用緩解措施(例如 PIE、ARC、Stack Canaries)的單獨報告。

  • 通過 TLS 保護的請求體或 URL 中的敏感數據。

  • 二進制中的路徑洩露。

  • IPA/APK 中硬編碼或可恢復的應用密鑰,且不影響業務。

  • 僅在私有應用目錄中存儲的敏感數據。

  • 通過畸形 URL scheme 或導出組件導致的應用崩潰。

  • 僅能在已越獄/刷機環境復現的運行時漏洞(例如需 Frida)通常不在獎勵範圍。

  • 通過剪貼板洩露的共享鏈接。

  • 被其他惡意應用濫用權限引起的 URI 洩露。

  • 未演示安全影響的 API Key 或第三方服務憑證洩露(例如公開 GitHub 中的 Google Maps API Key )。

  • 第三方服務問題(除非明確列入範圍)。

  • 非 OKX 自有服務(例如雲服務提供商)的漏洞通常不在獎勵範圍內。

通用規則

  • 首報優先:請確保您為首位報告該漏洞的研究者。

  • 提供明確 PoC:必須附上可復現漏洞的詳細步驟與示例。

  • 避免影響真實用戶:測試過程中應避免對真實用戶賬戶或數據造成影響。

  • 禁止惡意測試:不得進行拒絕服務攻擊、垃圾信息發送或社會工程學行為。

  • 不得未授權訪問或修改用戶數據:未經許可,不得嘗試訪問、導出或修改用戶數據。

爭議解決

如果對提交的漏洞嚴重性、獎勵金額存在分歧,請聯繫 OKX 客服團隊獲得即時幫助。