Ödül avcılığı programı

Güvenlik bir işbirliğidir. Bugları bildirin ve ödül kazanın.

Güvenlik açığı çeşitleri

Kritik

Önemli iş

$10,000'a kadar*

Genel iş

$5,000'a kadar*

Edge iş

$2,500'a kadar*

0>*

Kritik önem derecesine sahip sorunlar, müşterilerimiz veya Deriv için büyük bir risk teşkil eder. Bunlar genellikle altyapımızdaki nispeten düşük seviyeli bileşenleri etkiler. Örneğin:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

Yüksek

Önemli iş

$5,000'a kadar

Genel iş

$2,500'a kadar

Edge iş

$1,000'a kadar

Yüksek önem düzeyine sahip sorunlar genellikle kapsam olarak kritik sorunlardan daha dardır ancak hassas müşteri ve şirket verilerini saldırganlara maruz bırakabilirler. Örneğin:

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

Orta

Önemli iş

$500'a kadar

Genel iş

$250'a kadar

Edge iş

$100'a kadar

Orta önem düzeyine sahip sorunlar, saldırganların sınırlı miktarda hassas veriyi okumak veya değiştirmek için yetkisiz erişim elde etmesine olanak tanır. Bu veriler genellikle yüksek önem düzeyine sahip sorunlar tarafından açığa çıkan verilerden daha az hassastır. Örneğin:

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

Düşük

sadece önemli güvenlik sorunlarını gidermemize yardımcı olurlarsa düşük düzeyli güvenlik açıkları ile ilgili raporları ödüllendireceğiz ve ödül tutarına vaka bazında karar vereceğiz.

Düşük önem düzeyine sahip sorunlar, son derece sınırlı miktarda veri açığa çıkarır. Bir şeyin nasıl çalışması gerektiğine dair bir beklentiyi ihlal edebilirler, ancak ayrıcalık yükseltme olmadan veya istenmeyen davranışı tetikleme yeteneği. Örneğin:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information