尊敬的BVOX用户:
BVOX致力于向客户提供安全可靠的加密货币交易服务。我们意识到即使最完善的系统也可能存在漏洞,因此我们启动了漏洞赏金计划。我们希望通过悬赏的方式鼓励黑客检测并报告平台的安全问题,以便我们能够快速解决这些问题,防止任何恶意攻击。 我们的漏洞赏金计划对任何发现我们软件产品漏洞的人开放。我们将提供一定金额的奖金作为对符合条件的漏洞报告的奖励,奖金金额将取决于问题的严重程度和报告的质量。最低奖励为50美元,最高奖励为5000美元。我们还将在得到研究人员允许的情况下,在我们的网站上公开他们报告的符合条件的漏洞的信息。
BVOX致力于向客户提供安全可靠的加密货币交易服务。我们意识到即使最完善的系统也可能存在漏洞,因此我们启动了漏洞赏金计划。我们希望通过悬赏的方式鼓励黑客检测并报告平台的安全问题,以便我们能够快速解决这些问题,防止任何恶意攻击。 我们的漏洞赏金计划对任何发现我们软件产品漏洞的人开放。我们将提供一定金额的奖金作为对符合条件的漏洞报告的奖励,奖金金额将取决于问题的严重程度和报告的质量。最低奖励为50美元,最高奖励为5000美元。我们还将在得到研究人员允许的情况下,在我们的网站上公开他们报告的符合条件的漏洞的信息。
赏金等级:
安全等级 | 奖金范围 |
严重 | $1,500 - $5,000 |
高级 | $800 - $1,400 |
中级 | $300 - $700 |
低级 | $50 - $200 |
检测范围:
目标 | 类型 | 奖励形式 |
https://www.bvox.com | Web | USDT奖金 |
https://www.bvox.com | Android&IOS | USDT奖金 |
我们将会对发现以下范围漏洞的黑客进行奖赏(Web、移动):
-
业务逻辑问题
-
支付操纵
-
远程代码执行(RCE)
-
注入漏洞(SQL、XXE)
-
文件包含(本地和远程)
-
访问控制问题(IDOR、特权升级等)
-
敏感信息泄露
-
服务器端请求伪造(SSRF)
-
跨站请求伪造(CSRF)
-
跨站脚本攻击(XSS)
-
目录遍历
-
其他具有明显潜在损失的漏洞
以下漏洞不在悬赏范围内:
在以下范围内发现的漏洞,除非它们对业务构成严重威胁(由我们自行决定),否则不太可能获得奖励:
一、WEB端
-
第三方应用程序中的漏洞
-
不属于公司的资产
-
最佳实践问题
-
最近(少于30天)公开的0天漏洞
-
影响使用过时浏览器或平台的用户的漏洞
-
社交工程、网络钓鱼、物理或其他欺诈活动
-
没有利用证明的公开可访问的登录面板
-
声明软件已过期/存在漏洞但没有提供概念证明的报告
-
扫描器或任何自动化或主动利用工具生成的报告
-
涉及网络浏览器插件等主动内容的漏洞
-
大多数没有明显影响的暴力破解问题
-
拒绝服务(DoS / DDoS)
-
理论问题
-
中度敏感信息披露
-
垃圾邮件(短信、电子邮件等)
-
缺失的HTTP安全标头
-
基础设施漏洞,包括:
-
证书/TLS/SSL相关问题;
-
DNS问题(即MX记录、SPF记录、DMARC记录等);
-
服务器配置问题(即开放端口、TLS等)
-
开放式重定向
-
会话固定
-
用户帐户枚举
-
点击劫持和仅通过点击劫持/点击劫持可利用的问题
-
描述性错误消息(例如,堆栈跟踪、应用程序或服务器错误)
-
无法用于利用其他用户的自我XSS
-
登录和注销CSRF
-
弱Captcha/Captcha绕过
-
通过登录/忘记密码页面错误消息枚举用户名/电子邮件
-
匿名用户可以访问的表单中的CSRF(例如联系表单)
-
启用OPTIONS/TRACE HTTP方法
-
主机标头问题,没有漏洞演示证明
-
内容欺骗和文本注入问题,没有显示攻击向量/无法修改HTML/CSS
-
内容欺骗,没有嵌入链接/HTML
-
反射式文件下载(RFD)
-
混合HTTP内容
-
HTTPS混合内容脚本
-
中间人攻击和本地攻击
二、移动应用
-
需要物理访问用户设备的攻击
-
需要 root/jailbreak 的漏洞
-
需要大量用户交互的漏洞
-
设备上非敏感数据的曝光
-
二进制文件的静态分析报告没有影响业务逻辑的 PoC
-
缺乏混淆/二进制保护/root(jailbreak)检测
-
绕过在已 root 设备上的证书锁定
-
缺乏利用缓解措施,例如PIE、ARC或堆栈维护
-
在受 TLS 保护的 URL/请求正文中的敏感数据
-
二进制文件中的路径泄露
-
在 IPA、APK 中硬编码/可恢复的 OAuth 和应用程序密钥
-
设备内存中保留为明文的敏感信息
-
由于格式不正确的 URL 方案或发送到导出的 Activity/Service/Broadcast Receiver 的 Intent 导致崩溃(利用这些漏洞泄漏敏感数据通常在范围内)
-
存储在应用程序私有目录中的任何敏感数据
-
利用诸如Frida/Appmon之类的工具进行运行时黑客攻击(仅在越狱环境中才可能存在的漏洞)
-
通过系统剪贴板泄露的共享链接
-
任何因恶意应用程序获得查看打开的 URI 权限而泄露的 URI。
-
暴露 API 密钥但没有安全影响(如 Google Maps API 密钥等)
漏洞赏金计划规则
-
避免使用网络应用程序扫描器进行自动漏洞搜索,以避免产生大量流量
-
努力不要损坏或限制产品、服务或基础设施的可用性
-
避免危害任何个人数据,不中断或降低任何服务的质量
-
不要访问或修改其他用户数据,将所有测试局限于自己的帐户
-
仅在范围内执行测试
-
不要利用任何 DoS/DDoS 漏洞、社交工程攻击或垃圾邮件
-
不要使用自动扫描仪垃圾邮件表单或账户创建流程
-
如果发现连锁漏洞,我们只会支付最高严重性的漏洞。
-
不要违法行为,保持在定义的范围内
-
未经适当许可,不得向任何不是BVOX团队或该公司授权员工的人员通报发现的漏洞的任何细节。
漏洞提交指南
-
未经组织明确同意,不要在计划外部讨论该计划或任何漏洞(即使是已解决的漏洞)。
-
暂不允许进行漏洞披露,包括部分披露。
-
请不要发布/讨论漏洞。 资格和协调披露 我们很高兴感谢提交有效报告帮助我们提高安全性的每个人。但是,只有符合以下资格要求的报告者才有资格获得货币奖励:
-
您必须是漏洞的首次报告者。
-
漏洞必须是符合资格的漏洞。
-
发现的任何漏洞必须在发现后不迟于24小时内通过support@bitvenus.com进行报告,并且仅限于此渠道。
-
您必须发送一个清晰的文本描述报告,包括详细的复现步骤,包括必要的附件,如屏幕截图或概念验证代码。
-
您不得是我们或其承包商的前任或现任员工。
-
提供详细但简明的复现步骤。
我们非常重视安全,并感谢您为改进我们产品的安全性所做的任何努力。感谢您协助使我们的产品更加安全。
感谢您对BVOX的支持!
BVOX团队
评论
0 条评论
请登录写评论。