TR
English
Español
Français
Indonesian
Italiano
Polski
Português
Русский
Thai
Tiếng Việt
Türkçe
简体中文
繁體中文
বাংলা
العربية
한국어
Crowdin
Ödül avcılığı programı
Güvenlik bir işbirliğidir. Bugları bildirin ve ödül kazanın.
Güvenlik açığı çeşitleri
Kritik
Önemli iş
$10,000'a kadar*
Genel iş
$5,000'a kadar*
Edge iş
$2,500'a kadar*
0>*
Kritik önem derecesine sahip sorunlar, müşterilerimiz veya Deriv için büyük bir risk teşkil eder. Bunlar genellikle altyapımızdaki nispeten düşük seviyeli bileşenleri etkiler. Örneğin:
- Arbitrary code/command execution on a server in our production network
- Arbitrary queries on a production database
- Bypassing our sign-in process, either password or 2FA
- Accessing sensitive production user data and internal production systems
- Payment-related vulnerabilities that could result in loss to our clients and the company
Yüksek
Önemli iş
$5,000'a kadar
Genel iş
$2,500'a kadar
Edge iş
$1,000'a kadar
Yüksek önem düzeyine sahip sorunlar genellikle kapsam olarak kritik sorunlardan daha dardır ancak hassas müşteri ve şirket verilerini saldırganlara maruz bırakabilirler. Örneğin:
- Cross-server scripting (XSS) that bypasses content security policy (CSP)
- The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
- Gaining access to back-end code, internal session cookies, or other sensitive information
- Exploiting interactive logic issues that can cause loss to clients
Orta
Önemli iş
$500'a kadar
Genel iş
$250'a kadar
Edge iş
$100'a kadar
Orta önem düzeyine sahip sorunlar, saldırganların sınırlı miktarda hassas veriyi okumak veya değiştirmek için yetkisiz erişim elde etmesine olanak tanır. Bu veriler genellikle yüksek önem düzeyine sahip sorunlar tarafından açığa çıkan verilerden daha az hassastır. Örneğin:
- The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
- XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
- Cross-site and server-side request forgery (without access to our internal network)
- Subdomain takeover
Düşük
sadece önemli güvenlik sorunlarını gidermemize yardımcı olurlarsa düşük düzeyli güvenlik açıkları ile ilgili raporları ödüllendireceğiz ve ödül tutarına vaka bazında karar vereceğiz.
Düşük önem düzeyine sahip sorunlar, son derece sınırlı miktarda veri açığa çıkarır. Bir şeyin nasıl çalışması gerektiğine dair bir beklentiyi ihlal edebilirler, ancak ayrıcalık yükseltme olmadan veya istenmeyen davranışı tetikleme yeteneği. Örneğin:
- Triggering debug error pages without proof of exploitability or obtaining sensitive information
- Cross-site request forgery (non-critical)
- Vulnerabilities depended on difficult scenarios or pre-conditions
- Exposed logs without sensitive information