বাগ বাউন্টি প্রোগ্রাম
নিরাপত্তা একটি সহযোগিতা। রিপোর্ট বাগ এবং পুরস্কৃত করা।
দুর্বলতার প্রকার
সংকটপূর্ণ
গুরুত্বপূর্ণ ব্যবসা
$10,000 পর্যন্ত*
সাধারণ ব্যবসা
$5,000 পর্যন্ত*
এজ বিজনেস
$2,500 পর্যন্ত*
*আমরা কেস-টু-কেস ভিত্তিতে সমালোচনামূলক বাগ রিপোর্টের জন্য উচ্চতর অর্থ প্রদান করতে পারি।
গুরুতর তীব্রতা সমস্যা আমাদের ক্লায়েন্টদের জন্য বা Deriv নিজেই একটি বিরাট ঝুঁকি উপস্থাপন। তারা প্রায়ই প্রভাবিত অপেক্ষাকৃত নিম্ন স্তরের উপাদান আমাদের অবকাঠামো। উদাহরণস্বরুপ:
- আমাদের উত্পাদন নেটওয়ার্কের একটি সার্ভারে নির্বিচারে কোড/কমান্ড এক্সিকিউশন
- একটি উত্পাদন ডাটাবেসে অবাধ প্রশ্ন
- আমাদের সাইন-ইন প্রক্রিয়া বাইপাস, পাসওয়ার্ড বা 2FA হয়
- সংবেদনশীল উত্পাদন ব্যবহারকারী তথ্য এবং অভ্যন্তরীণ উত্পাদন সিস্টেম অ্যাক্সেস
- পেমেন্ট সংক্রান্ত দুর্বলতা যা আমাদের ক্লায়েন্ট এবং কোম্পানির ক্ষতি হতে পারে
উচ্চ
গুরুত্বপূর্ণ ব্যবসা
5,000 USD পর্যন্ত
সাধারণ ব্যবসা
$2,500 পর্যন্ত
এজ বিজনেস
$1,000 পর্যন্ত
উচ্চ তীব্রতার বিষয়গুলি সাধারণত জটিল সমস্যাগুলির তুলনায় সুযোগের মধ্যে বেশি সংকীর্ণ হয়, তবে তারা আক্রমণকারীদের কাছে সংবেদনশীল ক্লায়েন্ট এবং কোম্পানির ডেটা প্রকাশ করতে পারে। উদাহরণস্বরুপ:
- ক্রস-সার্ভার স্ক্রিপ্টিং (XSS) যা সামগ্রী নিরাপত্তা নীতি (CSP) বাইপাস করে
- যাচাইকরণ বাইপাস করার ক্ষমতা, ক্লায়েন্টদের অ্যাকাউন্ট বা ডিভাইসগুলিতে লগ ইন করুন, ক্লায়েন্টদের সংবেদনশীল ডেটা বের করুন এবং সম্মতি ছাড়াই কর্ম সঞ্চালনের ক্ষমতা
- ব্যাক-এন্ড কোড, অভ্যন্তরীণ সেশন কুকি, বা অন্যান্য সংবেদনশীল তথ্য অ্যাক্সেস অর্জন
- ক্লায়েন্টদের ক্ষতির কারণ হতে পারে এমন ইন্টারেক্টিভ লজিক সমস্যাগুলি শোষণ করা
মাঝারি
গুরুত্বপূর্ণ ব্যবসা
$500 পর্যন্ত
সাধারণ ব্যবসা
$250 পর্যন্ত
এজ বিজনেস
$100 পর্যন্ত
মাঝারি তীব্রতার সমস্যাগুলি আক্রমণকারীদের সীমিত পরিমাণে সংবেদনশীল ডেটা পড়তে বা সংশোধন করার জন্য অননুমোদিত অ্যাক্সেস লাভ করতে দেয়। এই তথ্য সাধারণত উচ্চ তীব্রতা সমস্যা দ্বারা উদ্ভাসিত তথ্য তুলনায় কম সংবেদনশীল। উদাহরণস্বরুপ:
- ক্লায়েন্টদের সংবেদনশীল তথ্যের সীমিত অংশ, আমাদের ব্যাক-এন্ড কোড, বা GitHub এ অভ্যন্তরীণ তথ্য অ্যাক্সেস করার ক্ষমতা
- XSS যা CSP বাইপাস করে না এবং অন্য ব্যবহারকারীর সেশনে অননুমোদিত কর্ম সঞ্চালন করে না
- ক্রস-সাইট এবং সার্ভার-সাইড অনুরোধ জালিয়াতি (আমাদের অভ্যন্তরীণ নেটওয়ার্ক অ্যাক্সেস ছাড়া)
- সাবডোমেন টেকওভার
নিচু
আমরা নিম্ন স্তরের দুর্বলতাগুলির প্রতিবেদনগুলি প্রদান করবো যদি তারা গুরুতর নিরাপত্তা সমস্যা সমাধান করতে আমাদের সাহায্য করে, এবং আমরা কেস-টু-কেস ভিত্তিতে পুরস্কারের পরিমাণ নির্ধারণ করবো।
নিম্ন তীব্রতা সমস্যা একটি অত্যন্ত সীমিত পরিমাণ তথ্য প্রকাশ। তারা হয়তো কোন কিছু কিভাবে কাজ করার উদ্দেশ্যে করা হয় তার একটি প্রত্যাশা লঙ্ঘন করতে পারে, কিন্তু বিশেষাধিকার বৃদ্ধি বা অনিচ্ছাকৃত আচরণকে ট্রিগার করার ক্ষমতা ছাড়াই। উদাহরণস্বরুপ:
- শোষণযোগ্যতার প্রমাণ ছাড়াই বা সংবেদনশীল তথ্য প্রাপ্তির ডিবাগ ত্রুটি পৃষ্ঠাগুলি ট্রিগার করা
- ক্রস-সাইট অনুরোধ জালিয়াতি (অ-সমালোচনামূলক)
- দুর্বলতা কঠিন পরিস্থিতিতে বা প্রাককালীনের উপর নির্ভর করে
- সংবেদনশীল তথ্য ব্যতিরেকে উন্মুক্ত লগ