TH
English
Português
Español
Русский
Français
Thai
Indonesia
Tiếng Việt
Italiano
简体中文
Polish
繁體中文
Crowdin
โปรแกรมรางวัลบั๊ก
ความปลอดภัยคือความร่วมมือ รายงานจุดบกพร่องและรับรางวัล
ประเภทของช่องโหว่
วิกฤต
ธุรกิจสำคัญ
ถึง $10,000*
ธุรกิจทั่วไป
ถึง $5,000*
ขอบธุรกิจ
ถึง $2,500*
*เราอาจจ่ายสูงกว่าสำหรับรายงานจุดบกพร่องที่สำคัญเป็นรายกรณีไป
Problemy o krytycznym znaczeniu stanowią ogromne ryzyko dla naszych klientów lub dla samej firmy Deriv. Często dotyczą one stosunkowo niskopoziomowych komponentów naszej infrastruktury. Na przykład:
- Arbitralne wykonanie kodu/polecenia na serwerze w naszej sieci produkcyjnej
- Dowolne zapytania dot. produkcyjnej bazy danych
- Omijanie naszego procesu logowania, zarówno logowania za pomocą hasła, jak i uwierzytelniania dwuskładnikowego
- Uzyskiwanie dostępu do poufnych danych użytkowników produkcyjnych i wewnętrznych systemów produkcyjnych
- Luki w zabezpieczeniach związane z płatnościami, które mogą skutkować stratami poniesionymi przez naszych klientów i naszą firmę
สูง
ธุรกิจสำคัญ
ถึง $5,000
ธุรกิจทั่วไป
ถึง $2,500
ขอบธุรกิจ
ถึง $1,000
Problemy o dużym znaczeniu mają zazwyczaj węższy zakres niż problemy krytyczne, ale mogą narażać wrażliwe dane klientów i firmy na atak. Na przykład:
- Skrypty XSS (skrypty między serwerami), które omijają zasady bezpieczeństwa treści (CSP)
- Możliwość omijania weryfikacji, logowania się na konta lub urządzenia klientów, pozyskiwania poufnych danych klientów oraz wykonywania działań bez ich zgody
- Uzyskiwanie dostępu do kodu back-end, plików cookie sesji wewnętrznej lub innych poufnych informacji
- Wykorzystywanie błędów w logice interaktywnej, które mogą powodować straty u klientów
ปานกลาง
ธุรกิจสำคัญ
ถึง $500
ธุรกิจทั่วไป
ถึง $250
ขอบธุรกิจ
ถึง $100
Problemy o średnim poziomie zagrożenia umożliwiają hakerom uzyskać nieuprawniony dostęp z możliwością odczytu lub modyfikacji ograniczonej ilości wrażliwych danych. Dane te są zwykle mniej wrażliwe niż dane narażone na atak przez poważne błędy. Na przykład:
- Możliwość dostępu do ograniczonej części poufnych informacji klientów, naszego kodu back-end lub informacji wewnętrznych na GitHubie.
- XSS, które nie omijają CSP i nie wykonują nieautoryzowanych działań w sesji innego użytkownika
- Fałszowanie żądań między serwerami lub między stronami (bez dostępu do naszej sieci wewnętrznej)
- Przejęcie poddomeny
ต่ำ
เราจะให้รางวัลแก่รายงานเกี่ยวกับช่องโหว่ระดับต่ำ เฉพาะ หากพวกเขาช่วยเราแก้ไขปัญหาด้านความปลอดภัยที่รุนแรง และเราจะตัดสินจำนวนรางวัลเป็นกรณีไป
Problemy o mniejszym znaczeniu narażają na ujawnienie bardzo ograniczonej ilości danych. Mogą wpływać negatywnie na oczekiwania co do sposobu działania, ale bez eskalacji uprawnień lub możliwości wywołania niezamierzonego zachowania. Na przykład:
- Wyzwalanie stron błędów debugowania bez dowodu na możliwość wykorzystania lub uzyskania informacji wrażliwych
- Fałszerstwo żądania międzywitrynowego (niekrytyczne)
- Podatność na zagrożenia zależała od trudnych scenariuszy lub warunków wstępnych
- Ujawnione dzienniki zawierające informacje poufne