برنامج مكافأة العلة

الأمن هو تعاون. قم بالإبلاغ عن الأخطاء واحصل على مكافأة.

أنواع نقاط الضعف

حرجة

نشاط تجاري مهم

ما يصل إلى 10,000 دولار *

أعمال عامة

ما يصل إلى 5,000 دولار *

شركة إيدج بيزنس

ما يصل إلى 2,500 دولار *

* قد ندفع مبلغًا أكبر لتقارير الأخطاء الحرجة على أساس كل حالة على حدة.

تمثل مشكلات الخطورة الحرجة خطرًا كبيرًا على عملائنا أو على Deriv نفسها. غالبًا مما يؤثر نسبيا على الشيفرة ذات مستوى واحد في بنيتنا التحتية. على سبيل المثال:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

مرتفع

نشاط تجاري مهم

ما يصل إلى 5,000 دولار

أعمال عامة

ما يصل إلى 2,500 دولار

شركة إيدج بيزنس

ما يصل إلى 1,000 دولار

عادةً ما تكون المشكلات عالية الخطورة أضيق نطاقًا من المشكلات الحرجة، ولكنها قد تعرض بيانات العميل والشركة الحساسة لخطر الهجوم. على سبيل المثال:

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

متوسط

نشاط تجاري مهم

ما يصل إلى 500 دولار

أعمال عامة

ما يصل إلى 250 دولارًا

شركة إيدج بيزنس

ما يصل إلى 100 دولار

تسمح المشكلات متوسطة الخطورة للمهاجمين بالحصول على وصول غير مصرح به لقراءة أو تعديل كمية محدودة من البيانات الحساسة. عادةً ما تكون هذه البيانات أقل حساسية من البيانات المعرضة لمشكلات شديدة الخطورة. على سبيل المثال:

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

منخفض

نقدم مكافئات عن التقارير حول الثغرات منخفضة الخطورة فقط إذا ساعدتنا في إصلاح مشاكل أمن سيبرانية خطيرة، وسنقرر مبلغ المكافأة على أساس كل حالة على حدة.

تعرض المشكلات منخفضة الخطورة كمية محدودة للغاية من البيانات للخطر. قد تغير توقعًا لكيفية عمل شيء ما، ولكن بدون تهديد ميزات معينة أو القدرة على إطلاق سلوك غير مقصود. على سبيل المثال:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information