漏洞赏金计划
安全保障是一种协作。报告错误并获得奖励。
漏洞类型
严重
重要业务
高达 $10,000*
一般业务
高达 $5,000*
边缘忙乱
高达 $2,500*
*可能会根据具体情况为严重的错误报告支付更高的费用。
关键的严重性问题给客户或 Deriv 本身带来了巨大的风险。它们通常会影响基础设施中相对较低级别的组件。例如:
- 在生产网络的服务器执行任意代码/命令
- 对生产数据库的任意查询
- 绕过使用密码或 2FA的登录过程
- 访问敏感的生产用户数据和内部生产系统
- 与支付相关的漏洞可能导致客户和公司蒙受损失
高
重要业务
高达 $5,000
一般业务
高达 $2,500
边缘忙乱
高达 $1,000
高严重性问题的范围通常比关键问题较小,但可能会将敏感的客户和公司数据暴露给攻击者。例如:
- 绕过内容安全策略 (CSP) 的跨服务器脚本 (XSS)
- 绕过验证、登录客户賬戶或设备、提取客户敏感数据以及在未经同意的情况下执行操作的能力
- 访问后端代码、内部会话 cookie 或其他敏感信息
- 利用可能导致客户亏损的交互逻辑问题
中等
重要业务
高达 $500
一般业务
高达 $250
边缘忙乱
高达 $100
中等严重性问题允许攻击者获得未经授权的访问权限以读取或修改有限数量的敏感数据。此数据通常不如高严重性问题暴露的数据敏感。例如:
- 访问有限部分的客户敏感信息、后端代码或 GitHub 上的内部信息的能力
- XSS 不会绕过 CSP 并且不会在其他用户的会话中执行未经授权的操作
- 跨站点和服务器端请求伪造(无须访问内部网络)
- 子域接管
低
仅对帮助解决严重安全问题的低级漏洞报告给予奖励,且将根据具体情况决定奖励金额。
低严重性问题暴露的数据量非常有限。其可能会违反对某事预期如何工作的预测,但没有特权升级或触发意外行为的能力。 例如:
- 在没有可利用性证明或获取敏感信息的情况下触发调试错误页面
- 跨站请求伪造(非关键)
- 漏洞取决于困难的场景或先决条件
- 无敏感信息的暴露日志