버그 바운티 프로그램

치명

*저희는 케이스에 따라 더 중대한 버그 리포트에 대하여 더 많이 지불해 드릴 수 있습니다.

치명적이고 심각한 문제들은 저희의 고객분들 또는 Deriv에 상당한 위험을 가지고 옵니다. 이 위험들은 때때로 저희의 기반 시설의 다소 낮은 레벨의 구성에 영향을 줍니다. 예를 들면:

• Arbitrary code/command execution on a server in our production network
• Arbitrary queries on a production database
• Bypassing our sign-in process, either password or 2FA
• Accessing sensitive production user data and internal production systems
• Payment-related vulnerabilities that could result in loss to our clients and the company

높습니다

심각한 문제는 일반적으로 치명 문제보다 범위적으로 더 좁습니다만, 공격자들에게 고객과 회사의 민감한 데이터를 노출시킬 수 있습니다. 예를 들자면:

• Cross-server scripting (XSS) that bypasses content security policy (CSP)
• The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
• Gaining access to back-end code, internal session cookies, or other sensitive information
• Exploiting interactive logic issues that can cause loss to clients

중간

중간 수준의 심각한 문제는 공격자들이 제한된 양의 민감한 데이터를 읽거나 변경할 수 있는 비인가된 접근권한을 가질 수 있도록 합니다. 이 데이터는 높은 수준의 심각한 문제에 의해 노출되는 데이터보다 일반적으로 민감한 정도가 작습니다.

• The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
• XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
• Cross-site and server-side request forgery (without access to our internal network)
• Subdomain takeover

낮음

낮은 심각성의 문제는 극도로 제한된 양의 데이터를 노출시킵니다. 이러한 문제들은 권한 확대 또는 의도하지 않은 행위를 시현시킬 수 있는 능력 없이 어떠한 작업이 의도한 바대로 시행되어야 하는 예상을 위반할 수 있습니다. 예를 들어서:

• Triggering debug error pages without proof of exploitability or obtaining sensitive information
• Cross-site request forgery (non-critical)
• Vulnerabilities depended on difficult scenarios or pre-conditions
• Exposed logs without sensitive information