漏洞赏金计划

安全保障是一种协作。报告错误并获得奖励。

关于 Deriv

通过跨多个平台的桌面和移动应用程序为超过 200 万客户提供在线交易服务。

安全保障对我们很重要。通过与全球独立的安全研究人员合作,我们不断改进产品和服务。

发送电子邮件給我们,说明您在 Deriv 交易平台或应用程序上发现的错误。

范围

此计划仅涵盖 Deriv 资产。如果发现第三方应用程序的错误,请向相应的所有者报告。您可以提交与我们业务的以下方面相关的错误报告:

重要业务

支付网址: cashier.deriv.com

登录网址: oauth.deriv.com

WebSockets API: *.binaryws.com api.deriv.com

主要交易平台: app.deriv.com*

*这仅涵盖 Deriv 处理的功能

传统交易平台: smarttrader.deriv.com

一般业务

GitHub 存储库:

github.com/binary-com

Devexperts 差价合约交易应用程序:dx.deriv.com

Deriv P2P:点对点支付应用(Android 应用iOS 应用

Deriv GO:可选交易应用(Android 应用iOS 应用

Deriv X:DevExperts 差价合约交易应用程序(Android 应用程序iOS 应用程序

营销活动网站:trade.deriv.com(第三方)

边缘忙乱

静态资源网站: static.deriv.com

跟踪网址: t.deriv.com

Deriv X 的 FIX 源服务器:fix.deriv.com

内部应用程序:*.deriv.cloud

网络日志地址:https://blog.deriv.com/

此计划不涵盖以下第三方应用程序:

图表网址: tradingview.deriv.com

研究生课程网站:besquare.deriv.com

MetaQuotes 差价合约交易平台:trade.mql5.com

社区网站:community.deriv.com

范围外漏洞

在没有敏感操作的页面点击劫持

未经身份验证的表单或没有敏感操作的表单上的跨站点请求伪造 (CSRF)

需要中间人 (MITM) 或物理访问用户设备的攻击

没有工作概念证明 (PoC) 的以前已知的易受攻击库

开放重定向——除非可以证明额外的安全影响

没有 PoC 的自动漏洞扫描程序的输出以演示特定漏洞