漏洞赏金计划
安全保障是一种协作。报告错误并获得奖励。
关于 Deriv
通过跨多个平台的桌面和移动应用程序为超过 200 万客户提供在线交易服务。
安全保障对我们很重要。通过与全球独立的安全研究人员合作,我们不断改进产品和服务。
范围
此计划仅涵盖 Deriv 资产。如果发现第三方应用程序的错误,请向相应的所有者报告。您可以提交与我们业务的以下方面相关的错误报告:
重要业务
支付网址: cashier.deriv.com
登录网址: oauth.deriv.com
WebSockets API: *.binaryws.com api.deriv.com
主要交易平台: app.deriv.com*
*这仅涵盖 Deriv 处理的功能
传统交易平台: smarttrader.deriv.com
一般业务
GitHub 存储库:
github.com/binary-com
Devexperts 差价合约交易应用程序:dx.deriv.com
Deriv P2P:点对点支付应用(Android 应用、iOS 应用)
Deriv GO:可选交易应用(Android 应用、iOS 应用)
Deriv X:DevExperts 差价合约交易应用程序(Android 应用程序、iOS 应用程序)
营销活动网站:trade.deriv.com(第三方)
边缘忙乱
静态资源网站: static.deriv.com
跟踪网址: t.deriv.com
Deriv X 的 FIX 源服务器:fix.deriv.com
内部应用程序:*.deriv.cloud
网络日志地址:https://blog.deriv.com/
此计划不涵盖以下第三方应用程序:
图表网址: tradingview.deriv.com
研究生课程网站:besquare.deriv.com
MetaQuotes 差价合约交易平台:trade.mql5.com
社区网站:community.deriv.com
范围外漏洞
在没有敏感操作的页面点击劫持
未经身份验证的表单或没有敏感操作的表单上的跨站点请求伪造 (CSRF)
需要中间人 (MITM) 或物理访问用户设备的攻击
没有工作概念证明 (PoC) 的以前已知的易受攻击库
开放重定向——除非可以证明额外的安全影响
没有 PoC 的自动漏洞扫描程序的输出以演示特定漏洞