Ödül avcılığı programı
Güvenlik bir işbirliğidir. Bugları bildirin ve ödül kazanın.
Güvenlik açığı çeşitleri
Kritik
Önemli iş
$10,000'a kadar*
Genel iş
$5,000'a kadar*
Edge iş
$2,500'a kadar*
0>*
Kritik önem derecesine sahip sorunlar, müşterilerimiz veya Deriv için büyük bir risk teşkil eder. Bunlar genellikle altyapımızdaki nispeten düşük seviyeli bileşenleri etkiler. Örneğin:
- Üretim ağımızdaki bir sunucuda rasgele kod/komut uygulama
- Bir üretim veritabanındaki rastgele sorgular
- Parola veya 2FA gibi oturum açma işlemimizi baypas etme
- Hassas üretim kullanıcı verilerine ve dahili üretim sistemlerine erişme
- Müşterilerimiz ve şirketimiz için kayıplara neden olabilecek ödemeler ile ilgili güvenlik açıkları
Yüksek
Önemli iş
$5,000'a kadar
Genel iş
$2,500'a kadar
Edge iş
$1,000'a kadar
Yüksek önem düzeyine sahip sorunlar genellikle kapsam olarak kritik sorunlardan daha dardır ancak hassas müşteri ve şirket verilerini saldırganlara maruz bırakabilirler. Örneğin:
- İçerik güvenlik ilkesini (CSP) baypas eden sunucular arası komut dosyası (XSS)
- Doğrulamayı atlayabilme, müşterilerin hesaplarında veya cihazlarında oturum açabilme, müşterilerin hassas verilerini çıkarabilme ve onay almadan işlem yapabilme
- Back-end koduna, dahili oturum çerezlerine veya diğer hassas bilgilere erişim sağlama
- Müşterilerin kaybetmesine neden olabilecek etkileşimli mantık sorunlarından faydalanma
Orta
Önemli iş
$500'a kadar
Genel iş
$250'a kadar
Edge iş
$100'a kadar
Orta önem düzeyine sahip sorunlar, saldırganların sınırlı miktarda hassas veriyi okumak veya değiştirmek için yetkisiz erişim elde etmesine olanak tanır. Bu veriler genellikle yüksek önem düzeyine sahip sorunlar tarafından açığa çıkan verilerden daha az hassastır. Örneğin:
- Müşterilerin hassas bilgilerinin sınırlı bir bölümüne, back-end kodumuza veya GitHub'daki dahili bilgilere erişme olanağı
- CSP'yi baypas etmeyen ve başka bir kullanıcının oturumunda yetkisiz işlemleri gerçekleştirmeyen XSS
- Siteler arası ve sunucu taraflı talep sahteciliği (dahili ağımıza erişim olmadan)
- Subdomain devralma
Düşük
sadece önemli güvenlik sorunlarını gidermemize yardımcı olurlarsa düşük düzeyli güvenlik açıkları ile ilgili raporları ödüllendireceğiz ve ödül tutarına vaka bazında karar vereceğiz.
Düşük önem düzeyine sahip sorunlar, son derece sınırlı miktarda veri açığa çıkarır. Bir şeyin nasıl çalışması gerektiğine dair bir beklentiyi ihlal edebilirler, ancak ayrıcalık yükseltme olmadan veya istenmeyen davranışı tetikleme yeteneği. Örneğin:
- Kötüye kullanma kanıtı olmadan veya hassas bilgileri almadan hata ayıklama sayfalarını tetikleme
- Siteler arası talep sahteciliği (kritik olmayan)
- Güvenlik açıkları, zor senaryolara veya ön koşullara bağlıdır
- Hassas bilgiler içermeyen deşifre olan günlükler