Ödül avcılığı programı

Güvenlik bir işbirliğidir. Bugları bildirin ve ödül kazanın.

Güvenlik açığı çeşitleri

Kritik

Önemli iş

$10,000'a kadar*

Genel iş

$5,000'a kadar*

Edge iş

$2,500'a kadar*

0>*

Kritik önem derecesine sahip sorunlar, müşterilerimiz veya Deriv için büyük bir risk teşkil eder. Bunlar genellikle altyapımızdaki nispeten düşük seviyeli bileşenleri etkiler. Örneğin:

  • Üretim ağımızdaki bir sunucuda rasgele kod/komut uygulama
  • Bir üretim veritabanındaki rastgele sorgular
  • Parola veya 2FA gibi oturum açma işlemimizi baypas etme
  • Hassas üretim kullanıcı verilerine ve dahili üretim sistemlerine erişme
  • Müşterilerimiz ve şirketimiz için kayıplara neden olabilecek ödemeler ile ilgili güvenlik açıkları

Yüksek

Önemli iş

$5,000'a kadar

Genel iş

$2,500'a kadar

Edge iş

$1,000'a kadar

Yüksek önem düzeyine sahip sorunlar genellikle kapsam olarak kritik sorunlardan daha dardır ancak hassas müşteri ve şirket verilerini saldırganlara maruz bırakabilirler. Örneğin:

  • İçerik güvenlik ilkesini (CSP) baypas eden sunucular arası komut dosyası (XSS)
  • Doğrulamayı atlayabilme, müşterilerin hesaplarında veya cihazlarında oturum açabilme, müşterilerin hassas verilerini çıkarabilme ve onay almadan işlem yapabilme
  • Back-end koduna, dahili oturum çerezlerine veya diğer hassas bilgilere erişim sağlama
  • Müşterilerin kaybetmesine neden olabilecek etkileşimli mantık sorunlarından faydalanma

Orta

Önemli iş

$500'a kadar

Genel iş

$250'a kadar

Edge iş

$100'a kadar

Orta önem düzeyine sahip sorunlar, saldırganların sınırlı miktarda hassas veriyi okumak veya değiştirmek için yetkisiz erişim elde etmesine olanak tanır. Bu veriler genellikle yüksek önem düzeyine sahip sorunlar tarafından açığa çıkan verilerden daha az hassastır. Örneğin:

  • Müşterilerin hassas bilgilerinin sınırlı bir bölümüne, back-end kodumuza veya GitHub'daki dahili bilgilere erişme olanağı
  • CSP'yi baypas etmeyen ve başka bir kullanıcının oturumunda yetkisiz işlemleri gerçekleştirmeyen XSS
  • Siteler arası ve sunucu taraflı talep sahteciliği (dahili ağımıza erişim olmadan)
  • Subdomain devralma

Düşük

sadece önemli güvenlik sorunlarını gidermemize yardımcı olurlarsa düşük düzeyli güvenlik açıkları ile ilgili raporları ödüllendireceğiz ve ödül tutarına vaka bazında karar vereceğiz.

Düşük önem düzeyine sahip sorunlar, son derece sınırlı miktarda veri açığa çıkarır. Bir şeyin nasıl çalışması gerektiğine dair bir beklentiyi ihlal edebilirler, ancak ayrıcalık yükseltme olmadan veya istenmeyen davranışı tetikleme yeteneği. Örneğin:

  • Kötüye kullanma kanıtı olmadan veya hassas bilgileri almadan hata ayıklama sayfalarını tetikleme
  • Siteler arası talep sahteciliği (kritik olmayan)
  • Güvenlik açıkları, zor senaryolara veya ön koşullara bağlıdır
  • Hassas bilgiler içermeyen deşifre olan günlükler