漏洞賞金計劃
安全保障是一種協作。報告錯誤並獲得獎勵。
漏洞類型
嚴重
重要業務
高達 $10,000*
一般業務
高達 $5,000*
邊緣忙亂
高達 $2,500*
*我們可能會根據具體情況為嚴重的錯誤報告支付更高的費用。
關鍵的嚴重性問題給客戶或 Deriv 本身帶來了巨大的風險。通常會影響基礎設施中相對較低級別的組件。例如:
- 在生產網路的伺服器執行任意代碼/命令
- 對生產資料庫的任意查詢
- 繞過使用密碼或 2FA 的登入過程
- 存取敏感的生產使用者資料和內部生產系統
- 與支付相關的漏洞可能導致客戶和公司蒙受損失
高
重要業務
高達 $5,000
一般業務
高達 $2,500
邊緣忙亂
高達 $1,000
高嚴重性問題的範圍通常比關鍵問題較小,但可能會將敏感的客戶和公司資料暴露給攻擊者。例如:
- 繞過內容安全策略 (CSP) 的跨伺服器腳本 (XSS)
- 繞過驗證、登入客戶帳戶或裝置、提取客戶敏感資料以及在未經同意的情況下執行操作的能力
- 存取後端代碼、內部時段 cookie 或其他敏感資訊
- 利用可能導致客戶虧損的交互邏輯問題
中等
重要業務
高達 $500
一般業務
高達 $250
邊緣忙亂
高達 $100
中等嚴重性問題允許攻擊者獲得未經授權的存取權限以讀取或修改有限數量的敏感資料。此資料通常不如高嚴重性問題暴露的資料敏感。例如:
- 存取有限部分的客戶敏感資訊、後端代碼或 GitHub 上的內部資訊的能力
- XSS 不會繞過 CSP 並且不會在其他使用者的會話中執行未經授權的操作
- 跨站點和伺服器端請求偽造(無須存取我們的內部網絡)
- 子域接管
低
我們將僅對幫助解決嚴重安全問題的低級漏洞報告給予獎勵,且將根據具體情況決定獎勵金額。
低嚴重性問題暴露的資料量非常有限。其可能會違反對某事預期如何工作的預測,但沒有特權升級或觸發意外行為的能力。例如:
- 在沒有可利用性證明或獲取敏感資訊的情況下觸發調試錯誤頁面
- 跨站請求偽造(非關鍵)
- 漏洞取決於困難的場景或先決條件
- 無敏感資訊的暴露日誌