ไปที่ Deriv.com

เกี่ยวกับเรา

ติดต่อเรา

TH

English

Español

Français

Indonesian

Italiano

Polski

Português

Русский

Thai

Tiếng Việt

Türkçe

简体中文

繁體中文

বাংলা

العربية

한국어

Crowdin

Deutsch

โปรแกรมรางวัลล่าบั๊ก

เพราะความปลอดภัยคือความร่วมมือกัน มาช่วยรายงานช่องโหว่โปรแกรมและรับรางวัลตอบแทน

ประเภทของช่องโหว่

ระดับวิกฤต

ธุรกิจสำคัญ

มากถึง $10,000*

ธุรกิจทั่วไป

สูงสุดถึง $5,000*

ธุรกิจสนับสนุน

สูงสุดถึง $2,500*

*เราอาจจ่ายสูงกว่าสำหรับรายงานจุดบกพร่องที่สำคัญเป็นรายกรณีไป

ปัญหาขั้นวิกฤตก่อให้เกิดความเสี่ยงอย่างมากต่อลูกค้าของเราหรือต่อตัวบริษัท Deriv เอง โดยปัญหาเหล่านี้มักจะกระทบต่อองค์ประกอบระดับต่ำในโครงสร้างพื้นฐานของเรา ตัวอย่างเช่น:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

ระดับสูง

ธุรกิจสำคัญ

มากถึง $5,000

ธุรกิจทั่วไป

มากถึง $2,500

ธุรกิจสนับสนุน

สูงสุด $1,000

ปัญหาระดับความรุนแรงสูง (high severity issue) นั้นโดยทั่วไปก็มักจะมีขอบเขตที่แคบกว่าปัญหาสำคัญ (critical issue) แต่ก็อาจจะเปิดเผยข้อมูลที่ละเอียดอ่อนของลูกค้าและบริษัทให้แก่ผู้โจมตีได้ ตัวอย่างเช่น:

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

ระดับปานกลาง

ธุรกิจสำคัญ

สูงสุดถึง $500

ธุรกิจทั่วไป

สูงสุดถึง $250

ธุรกิจสนับสนุน

สูงสุดถึง $100

ปัญหาความรุนแรงระดับปานกลางนั้นยอมให้ผู้โจมตีเข้าถึงโดยไม่ได้รับอนุญาตเพื่ออ่านหรือแก้ไขข้อมูลที่ละเอียดอ่อนในจำนวนจำกัด โดยข้อมูลนี้มักจะมีความละเอียดอ่อนน้อยกว่าข้อมูลถูกเปิดเผยหากเป็นในกรณีปัญหาระดับความรุนแรงสูง ตัวอย่างเช่น:

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

ระดับต่ำ

เราจะให้รางวัลแก่รายงานเกี่ยวกับช่องโหว่ระดับต่ำ เพียงเฉพาะ กรณีที่รายงานนั้นช่วยให้เราแก้ไขปัญหาด้านความปลอดภัยระดับรุนแรง และเราจะตัดสินใจถึงจำนวนเงินรางวัลเป็นกรณีๆไป

ปัญหาที่มีระดับความรุนแรงต่ำนั้นส่งผลกระทบโดยเผยข้อมูลจำนวนที่มีความจำกัดอย่างยิ่ง มันอาจหมายถึงการทำลายความคาดหวังเกี่ยวกับจุดประสงค์การทำงานของบางสิ่ง แต่ก็จะไม่นำสู่การเพิ่มระดับสิทธิ์ (privilege escalation) หรือความสามารถในการกระตุ้นพฤติกรรมที่ไม่ได้ตั้งใจ ตัวอย่างเช่น:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information