Program zgłaszania błędów

BEzpieczeństwo opiera się na współpracy. Zgłaszaj nam błędy i zarabiaj.

Rodzaje luk w zabezpieczeniach

Krytyczne

Istotna działalność

Do 10 000 $*

Ogólna działalność

Do 5000 $*

Mniej istotna działalność

Do 2 500 $*

*W niektórych przypadkach możemy płacić więcej za zgłoszenie krytycznego błędu.

關鍵的嚴重性問題給我們的客戶或 Deriv 本身帶來了巨大的風險。它們通常會影響我們基礎設施中相對較低級別的組件。例如:

  • 在我們的生產網絡的伺服器上執行任意代碼/命令
  • 對生產資料庫的任意查詢
  • 繞過使用密碼或 2FA的登入過程
  • 存取敏感的生產使用者資料和內部生產系統
  • 與支付相關的漏洞可能導致我們的客戶和公司蒙受損失

Wysokie

Istotna działalność

Do 5000 $

Ogólna działalność

Do 2 500 $

Mniej istotna działalność

Do 1000 $

高嚴重性問題的範圍通常比關鍵問題較小,但可能會將敏感的客戶和公司資料暴露給攻擊者。例如:

  • 繞過內容安全策略 (CSP) 的跨伺服器腳本 (XSS)
  • 繞過驗證、登入客戶帳戶或裝置、提取客戶敏感資料以及在未經同意的情況下執行操作的能力
  • 存取後端代碼、內部時段 cookie 或其他敏感資訊
  • 利用可能導致客戶虧損的交互邏輯問題

Średnie

Istotna działalność

Do 500 $

Ogólna działalność

Do 250 $

Mniej istotna działalność

Do 100 $

中等嚴重性問題允許攻擊者獲得未經授權的存取權限以讀取或修改有限數量的敏感資料。此資料通常不如高嚴重性問題暴露的資料敏感。例如:

  • 存取有限部分的客戶敏感資訊、後端代碼或 GitHub 上的內部資訊的能力
  • XSS 不會繞過 CSP 並且不會在其他使用者的會話中執行未經授權的操作
  • 跨站點和伺服器端請求偽造(無須存取我們的內部網絡)
  • 子域接管

Niski

Będziemy nagradzać zgłoszenia dotyczące luk o niskim poziomie zagrożenia, tylkojeśli pomogą nam one naprawić poważne błędy w zabezpieczeniach, a wysokość nagrody będzie ustalana indywidualnie dla każdego przypadku.

低嚴重性問題暴露的資料量非常有限。其可能會違反對某事預期如何工作的預測,但沒有特權升級或觸發意外行為的能力。例如:

  • 在沒有可利用性證明或獲取敏感資訊的情況下觸發調試錯誤頁面
  • 跨站請求偽造(非關鍵)
  • 漏洞取決於困難的場景或先決條件
  • 無敏感資訊的暴露日誌