3安全建议反馈奖励说明 DragonEx 一直致力于保证平台及用户的安全,我们深知外部安全研究人员和开发人员对维护社群安全方面的重要作用,我们于2019年11月28日特此发布DragonEx安全建议反馈奖励机制.DragonEx欢迎广大技术安全朋友致信安全建议与漏洞反馈邮箱:[email protected]. 奖励机制: 漏洞等级 建议奖励金: 高危:100-500 DT 中危:30-100 DT 低危:10-30 DT 2次连续提交有效的报告(中危以上):多加50%奖励 3次连续提交有效的报告(中危以上):多加75%奖励 4次或更多次连续提交有效的报告(中危以上):多加100%奖励 漏洞等级说明 根据漏洞的危害程度将漏洞等级分为【高危】、【中危】、【低危】三个等级,漏洞等级的评分标准及漏洞类型如下: 【高危漏洞】 基础分 60-100,高危等级漏洞包括但不仅限于: 1. 直接获取系统权限的漏洞(服务器权限、客户端权限),包括但不限于远程命令执行、任意代码执行、上传获取 Webshell、SQL 注入获取系统权限等漏洞。 2. 直接导致重要业务出现拒绝服务的漏洞,包括但不限于直接导致API 业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。 3. 重要的敏感信息泄漏,包括但不限于重要业务数据库的 SQL 注入漏洞、可获取大量核心业务数据等接口问题引起的敏感信息泄露。 4. 严重的逻辑设计缺陷和流程缺陷,包括但不限于批量修改任意账号密码漏洞、涉及核心业务的逻辑漏洞等。 5. 敏感信息越权访问,包括但不限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的服务器端请求伪造(SSRF)漏洞等。 6. 企业重要业务越权敏感操作,包括但不限于账号越权修改重要信息、重要业务配置修改等较为重要的越权行为。 7. 大范围影响用户的其他漏洞,包括但不限于可造成自动传播的重要页面的存储型跨站脚本攻击漏洞(包括存储型 DOM-XSS)。 【中危漏洞】 基础分 30-50,中危等级漏洞包括但不仅限于: 1. 需交互方可影响用户的漏洞,包括但不限于一般页面的存储型跨站脚本攻击漏洞,涉及核心业务的跨站请求伪造(CSRF)漏洞等。 2. 普通越权操作,包括但不限于绕过限制修改用户资料、执行用户操作等。 3. 普通的逻辑设计缺陷和流程缺陷,包括但不限于不限次数的短信发送、任意手机邮箱信息注册等。 【低危漏洞】 基础分 10-20,奖励系数可为 0,低危等级漏洞包括但不仅限于: 1. 本地拒绝服务漏洞,包括但不限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),以及由 Android 组件权限暴露、普通应用权限引起的问题等。 2. 普通信息泄漏,包括但不限于客户端明文存储密码、以及 web 路径遍历、系统路径遍历漏洞等。 3. 其他危害较低的漏洞,包括但不限于反射型跨站脚本攻击漏洞(包括反射型 DOM-XSS)、普通跨站请求伪造(CSRF)、URL跳转漏洞等。 补充说明: 1. DragonEx 只会奖励首次提交且被验证存在的漏洞发现者,提高相似的报告不会获得奖励,但将会回复说明情况; 2. 在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以联系在线?作?员及时沟通。 3. 奖励发放:漏洞报告被验证后的1周内发放奖励,可在DragonEx用户中心-账单查看;奖励将以DT形式发放, 部分特殊报告DragonEx还将提供额外奖励; 4. 以上最终解释权归DragonEx所有; DragonEx Team 2019年11月28日 用我的邀请链接注册DragonEx(全球Top20比特币交易所),享永久交易手续费4折优惠 https://dragonex.co/account/register?inviteId=1002432 —- 编译者/作者:胡巴区块链研究室 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
龙网交易所安全漏洞奖励,有技术实力的这个是一条来钱道
2020-09-25 胡巴区块链研究室 来源:区块链网络
LOADING...
相关阅读:
- DeFi有未来但不是现在,MakerDAO被清算者获赔无望,BCH分叉来了,江卓尔2020-09-25
- 阿祖论币:大饼多头攻势稍显但不可盲目追涨2020-09-24
- 法院在前雇员披露Kraken的真实地址时未发现犯罪2020-09-24
- 比特币交易所Gemini在英国启动2020-09-24
- Soda协议暴漏洞,「苏打水」险流空2020-09-24