Jotta voimme poistaa haavoittuvuuksia järjestelmästä ja parantaa edelleen BTCsquaren ominaisuuksia ja palveluita, olemme päättäneet julistaa kaikille kyberturvallisuuden tutkijoille tarkoitetun bugipalkkio-ohjelman.
Saadaksesi palkkion suosittelemme, että luot tilin BTCsquareen, jonne palkkio tallennetaan. Kaikki palkkiot maksetaan PLURA-kryptovaluutassa.
Vain raportit, joissa on yksityiskohtainen kuvaus haavoittuvuudesta ja täydellinen toimiva konseptin todiste, ovat oikeutettuja palkkioon.
Tavoitteet:
*.btcsquare.net
Palkkioiden valikoima
Vakavuuden taso ja palkkioiden vaihteluväli
L1: 300 USD PLURA-kryptovaluuttana
-haavoittuvuudet, jotka heikentävät käyttäjien omaisuuden turvallisuutta
-haavoittuvuudet, jotka ohittavat sovelluksia tai normaaliin liiketoimintalogiikkaan kuuluvia menettelyjä
-haavoittuvuudet, joiden avulla voidaan päästä etänä käsiksi käyttäjien olennaisiin tietoihin ja todennustietoihin
-haavoittuvuudet, jotka mahdollistavat käyttäjien salaamattomien yksityisten avainten ja avainsiementen vuotamisen
.
L2: 150 USD PLURA-kryptovaluuttana
-haavoittuvuudet, jotka johtavat korkean riskin tietovuotoihin
-haavoittuvuudet, jotka aiheuttavat sen, että BTCsquare ei pysty vastaamaan käyttäjien API-pyyntöihin.
L3: 50 USD PLURA-kryptovaluuttana
-haavoittuvuudet, jotka johtavat joidenkin käyttäjätietojen vuotamiseen vuorovaikutuksen tai taloudellisen petoksen kautta
-haavoittuvuudet, jotka aiheuttavat sen, että BTCsquare ei pysty vastaamaan käyttäjän pyyntöihin web- tai mobiilipuolelta.
L4: 20 USD PLURA-kryptovaluuttana
-haavoittuvuudet, jotka johtuvat tuotteen suunnitteluvirheistä, jotka eivät vaikuta käyttäjän omaisuuden turvallisuuteen.
-haavoittuvuudet, jotka vaikuttavat Web Walletin vakauteen tai käytettävyyteen
.
Kielletty toiminta:
- et voi testata järjestelmää muiden käyttäjien tilien kautta
- käyttämällä skannereita automaattiseen testaukseen
- tuottamalla liian monta yritystä pyynnön syöttämiseksi
.
Seuraavat kysymykset eivät ole palkkiokelpoisia:
-Sisällön hylkääminen
-Välimuistin hallintaongelmat
-Turvaotsikoiden puute, joka ei johda suoraan väärinkäyttöön
-CSRF:t, joiden turvallisuusvaikutus on vähäinen (esim.Suosikkeihin lisääminen ja ei-elävien ominaisuuksien poistaminen)
-ongelmat, jotka liittyvät turvattomiin SSL/TLS-salausyhdistelmiin tai protokollaversioihin
-haavoittuvuudet, jotka vaativat root-käyttöoikeutta tai vankilasta murtautumista
-haavoittuvuudet, jotka vaativat fyysistä pääsyä käyttäjien laitteisiin
-ongelmat, joilla ei ole vaikutusta tietoturvaan (esim. verkkosivun latautuminen ei onnistu)
-Ei-BTC:n neliöaseet
-Phishing-aseet (esim.: HTTP-perustodennuksen phishing)
-Teoreettiset haavoittuvuudet ilman todellista näyttöä
-Email-todennuksen puutteet, salasanan palautuslinkit vanhenevat, ja salasanojen monimutkaisuutta koskevat käytännöt
-haavoittuvuudet, jotka paljastavat sisäisiä IP-osoitteita tai verkkotunnuksia
-Tabnabbing
-Self-XSS
-Invalidit tai puuttuvat SPF-tietueet (Sender Policy Framework) (epätäydellinen tai puuttuva SPF/DKIM/DMARC)
-Klikkaushyökkäys/UI:n uudelleenmuodostus, jolla on minimaalinen vaikutus tietoturvaan
-Sähköpostin tai mobiililaitteen numerointi (esim.Esim. kyky tunnistaa sähköpostit salasanan nollaamisen avulla
-Tietovuoto, jonka turvallisuusvaikutukset ovat minimaaliset (esim. pinonseuranta, polkujen löytäminen, hakemistoluettelot, lokit)
-Sisäiset tunnetut ongelmat, toistuvat ongelmat tai aiemmin julkistetut ongelmat
-haavoittuvuudet, jotka soveltuvat vain vanhentuneisiin selainversioihin tai alustoihin
-verkkolomakkeiden automaattiseen täyttämiseen liittyvät haavoittuvuudet
- Jo tunnettujen haavoittuvien kirjastojen käyttö ilman todellista konseptin todentamista
-suojauslippujen puute evästeissä
.
Ehdot ja edellytykset
(1) Pidätämme oikeuden tehdä lopullisen selityksen palkitsemisohjelmasta.
(2) Vain ensimmäinen raportoitu haavoittuvuus saa palkkion.
(3) Jos BTCsquare-käyttäjien yksityisiä tietoja tai omaisuutta varastetaan, otamme oikeudellisen vastuun.
(4) Palkkio maksetaan TÄYSIN BTCsquareen rekisteröidylle tilillesi.
(5) Raportin tutkiminen voi kestää 2-3 viikkoa.
Jos sinulla on kysyttävää, ota yhteyttä:
Asiakastuki.