漏洞賞金計劃

嚴重

*我們可能會根據具體情況為嚴重的錯誤報告支付更高的費用。

關鍵的嚴重性問題給我們的客戶或 Deriv 本身帶來了巨大的風險。它們通常會影響我們基礎設施中相對較低級別的組件。例如：

• 在我們的生產網絡的伺服器上執行任意代碼/命令
• 對生產資料庫的任意查詢
• 繞過使用密碼或 2FA的登入過程
• 存取敏感的生產使用者資料和內部生產系統
• 與支付相關的漏洞可能導致我們的客戶和公司蒙受損失

高

高嚴重性問題的範圍通常比關鍵問題較小，但可能會將敏感的客戶和公司資料暴露給攻擊者。例如：

• 繞過內容安全策略 (CSP) 的跨伺服器腳本 (XSS)
• 繞過驗證、登入客戶帳戶或裝置、提取客戶敏感資料以及在未經同意的情況下執行操作的能力
• 存取後端代碼、內部時段 cookie 或其他敏感資訊
• 利用可能導致客戶虧損的交互邏輯問題

中等

中等嚴重性問題允許攻擊者獲得未經授權的存取權限以讀取或修改有限數量的敏感資料。此資料通常不如高嚴重性問題暴露的資料敏感。例如：

• 存取有限部分的客戶敏感資訊、後端代碼或 GitHub 上的內部資訊的能力
• XSS 不會繞過 CSP 並且不會在其他使用者的會話中執行未經授權的操作
• 跨站點和伺服器端請求偽造（無須存取我們的內部網絡）
• 子域接管

低

低嚴重性問題暴露的資料量非常有限。其可能會違反對某事預期如何工作的預測，但沒有特權升級或觸發意外行為的能力。例如：

• 在沒有可利用性證明或獲取敏感資訊的情況下觸發調試錯誤頁面
• 跨站請求偽造（非關鍵）
• 漏洞取決於困難的場景或先決條件
• 無敏感資訊的暴露日誌