VI
English
Español
Français
Indonesian
Italiano
Polski
Português
Русский
Thai
Tiếng Việt
Türkçe
简体中文
繁體中文
বাংলা
العربية
한국어
Crowdin
Deutsch
Chương trình tiền thưởng cho tìm lỗi
Bảo mật là một sự cộng tác. Báo cáo lỗi và được thưởng.
Các loại lỗ hổng
Nghiêm trọng
Nghiệp vụ quan trọng
Lên đến $10,000*
Nghiệp vụ thông thường
Lên đến $5,000*
Kinh doanh cạnh tranh
Lên đến $2,500*
*Chúng tôi có thể trả cao hơn cho các báo cáo lỗi nghiêm trọng tùy từng trường hợp.
Các vấn đề cực kỳ nghiêm trọng tiềm ẩn rủi ro rất lớn cho khách hàng của chúng tôi hoặc cho chính Deriv. Chúng thường ảnh hưởng đến các thành phần cấp tương đối thấp trong cơ sở hạ tầng của chúng tôi. Ví dụ:
- Arbitrary code/command execution on a server in our production network
- Arbitrary queries on a production database
- Bypassing our sign-in process, either password or 2FA
- Accessing sensitive production user data and internal production systems
- Payment-related vulnerabilities that could result in loss to our clients and the company
Cao
Nghiệp vụ quan trọng
Lên đến $5,000
Nghiệp vụ thông thường
Lên đến $2,500
Kinh doanh cạnh tranh
Lên đến $1,000
Các vấn đề nghiêm trọng lớn thường có phạm vi hẹp hơn các vấn đề nghiêm trọng, nhưng chúng có thể làm lộ dữ liệu nhạy cảm của khách hàng và công ty cho những kẻ tấn công. Ví dụ:
- Cross-server scripting (XSS) that bypasses content security policy (CSP)
- The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
- Gaining access to back-end code, internal session cookies, or other sensitive information
- Exploiting interactive logic issues that can cause loss to clients
Trung bình
Nghiệp vụ quan trọng
Lên đến $500
Nghiệp vụ thông thường
Lên đến $250
Kinh doanh cạnh tranh
Lên đến $100
Các vấn đề có mức độ nghiêm trọng trung bình cho phép kẻ tấn công có quyền truy cập trái phép để đọc hoặc sửa đổi một lượng hạn chế dữ liệu nhạy cảm. Dữ liệu này thường ít nhạy cảm hơn các dữ liệu mà bị ảnh hưởng bởi các vấn đề nghiêm trọng cao. Ví dụ:
- The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
- XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
- Cross-site and server-side request forgery (without access to our internal network)
- Subdomain takeover
Thấp
Chúng tôi sẽ thưởng cho các báo cáo về lỗ hổng cấp độ thấp chỉ nếu chúng giúp chúng tôi khắc phục các vấn đề bảo mật nghiêm trọng và chúng tôi sẽ quyết định số tiền thưởng tùy từng trường hợp.
Các vấn đề có mức độ nghiêm trọng thấp biểu thị một lượng dữ liệu cực kỳ hạn chế. Chúng có thể vi phạm kỳ vọng về cách thức hoạt động của một thứ gì đó, nhưng không có sự leo thang đặc quyền hoặc khả năng gây ra hành vi ngoài ý muốn. Ví dụ:
- Triggering debug error pages without proof of exploitability or obtaining sensitive information
- Cross-site request forgery (non-critical)
- Vulnerabilities depended on difficult scenarios or pre-conditions
- Exposed logs without sensitive information