Helpcentrum
Platform-walkthrough
Optimalisatie en gebruikerservaring

Bybit (powered by SATOS) Bug Bounty Program

Laatst bijgewerkt om 2025-10-19 21:36:56
Delen

Heeft Bybit (powered by SATOS) een bug bounty programma?

Ja, Bybit (powered by SATOS) heeft een bug bounty programma. Als je een kwetsbaarheid opmerkt op Bybit (powered by SATOS) en een bug bounty wilt ontvangen, volg dan de onderstaande stappen:

 

Stap 1: Voeg al je bevindingen samen in een overzichtelijk format. Het leveren van GIFs of video recordings  van de bug wordt zeer op prijs gesteld. 

 

Stap 2: Stuur je beveiligingsrapport en bevindingen in via dit formulier en selecteer de optie API Trading / Report a Security Vulnerability.

 

Voor video recordings, upload deze naar Google Drive en stuur ons de deelbare link. Ga voor meer informatie over hoe je dit kunt doen naar deze pagina.

 

 

 

Wat is de bug bounty die wordt uitgekeerd als een kwetsbaarheid is goedgekeurd?

Raadpleeg de onderstaande tabel voor de beschikbare bug bounty op basis van het niveau van de ontdekte kwetsbaarheid.

 

Niveau

Bounty

Laag

50 tot 200 USDC

Medium

500 tot 1000 USDC

Hoog

1000 tot 2000 USDC

Kritisch

2500 tot 4000 USDC

 

 

 

Hoe worden de verschillende niveaus van bugs/kwetsbaarheden gedefinieerd?

Raadpleeg de onderstaande lijst voor meer informatie:

 

Kritieke kwetsbaarheden

Een kritieke kwetsbaarheid verwijst naar een kwetsbaarheid die optreedt in het kernsysteem van een bedrijf (het kern besturingssysteem, field control, business distribution system, fortress machine en locus of control of een andere besturingslocatie die een groot aantal systemen kan beheren). Het kan een ernstige impact veroorzaken, toegang krijgen tot het bedrijfssysteem (afhankelijk van de feitelijke situatie) of de beheerders van het kernsysteem en zelfs het kernsysteem controleren.

 

Een kritieke kwetsbaarheid omvat, maar is niet beperkt tot:

  • Meerdere apparaten hebben toegang tot het interne netwerk

  • Toegang krijgen tot de back-end super administrator access, kerngegevens van de core enterprise lekken en ernstige gevolgen creëren.

  • Smart contract overflow en voorwaardelijke competitie kwetsbaarheid

 

 

Kwetsbaarheden met hoog risico

  • Systeemtoegang krijgen (getshell, command excecutie, etc.)

  • Systeem SQL injectie (afbraak van back-end kwetsbaarheden, prioritering van package submission waar nodig)

  • Ongeautoriseerde toegang krijgen tot gevoelige informatie, inclusief maar niet beperkt tot directe toegang tot de management achtergrond door authenticatie te omzeilen, door brute force aan te vallen back-end wachtwoorden, of om SSRF van gevoelige informatie in het interne netwerk te verkrijgen, enz.

  • Arbitrary document lezen

  • XXE kwetsbaarheid die toegang kan krijgen tot alle informatie

  • Ongeoorloofde bewerking waarbij geld of logica tot betaling wordt omzeild (moet met succes worden gebruikt)

  • Ernstige logische ontwerp fouten en proces gebreken. Dit omvat, maar is niet beperkt tot, alle kwetsbaarheden bij het inloggen van gebruikers, kwetsbaarheden bij het wijzigen van wachtwoorden van batch accounts, kwetsbaarheden in de logica waarbij core business van de onderneming betrokken is, enzovoort, met uitzondering van explosies met verificatie codes.

  • Andere kwetsbaarheden die gebruikers op grote schaal treffen. Deze omvatten, maar zijn niet beperkt tot, de XSS voor opslag die automatisch kan worden verspreid op de belangrijke pagina's en de XSS voor opslag die toegang kan krijgen tot authenticatie gegevens van de beheerder en met succes kan worden gebruikt.

  • Lekken van source code

  • Gebreken in de toegang controle van het smart contract

 

 

Kwetsbaarheden met middelhoog risico

  • Een kwetsbaarheid die gebruikers kan beïnvloeden door interactie, inclusief maar niet beperkt tot XSS bij opslag op algemene pagina's, CSRF bij core business, enz.

  • Algemene ongeoorloofde handelingen, niet beperkt tot het wijzigen van gebruikersgegevens en het uitvoeren van gebruikershandelingen door beperkingen te omzeilen

  • Kwetsbaarheden voor denial-of-service, inclusief maar niet beperkt tot kwetsbaarheden voor denial-of-service op afstand veroorzaakt door denial-of-service van web applicaties

  • Kwetsbaarheden veroorzaakt door een succesvolle explosie met de systeem gevoelige bewerking, zoals inloggen op een account en toegang tot een wachtwoord, enz. als gevolg van defecten in de logica van de verificatie code

  • Lekken van lokaal opgeslagen, gevoelige informatie over de authenticatie sleutel, die beschikbaar moet zijn voor effectief gebruik

 

 

Kwetsbaarheden met laag risico

  • Lokale denial-of-service kwetsbaarheden omvatten, maar zijn niet beperkt tot, client lokale denial-of-service (parsing file formats, crashes gegenereerd door netwerk protocollen), problemen veroorzaakt door Android component permission exposure, algemene applicatietoegang, enz.

  • Lekken van algemene informatie, niet beperkt tot Web path traversal, system path traversal, directory browsing, enz.

  • XSS (inclusief DOM XSS/Reflected XSS)

  • General CSRF

  • URL skip vulnerability

  • SMS bommen, mail bommen (elk systeem accepteert maar één type van deze kwetsbaarheid).

  • Andere kwetsbaarheden die minder schadelijk zijn (en niet bewezen kunnen worden, zoals CORS-kwetsbaarheid die geen toegang geeft tot gevoelige informatie) 

  • Geen retourwaarde en geen diepgaand gebruik van succesvolle SSRF

 

 

Kwetsbaarheden die op dit moment niet worden geaccepteerd (zelfs als zo'n kwetsbaarheid wordt ingediend, wordt deze genegeerd)

  • E-mail spoofing

  • Kwetsbaarheid door opsomming van gebruikers

  • Self-XSS & HTML injectie

  • Webpagina's zonder CSP en SRI beveiligingsbeleid

  • CSRF problemen voor niet-gevoelige handelingen

  • Een apart probleem met de Android app android:allowBackup="true", waarbij de service lokaal wordt geweigerd, enz.

  • Problemen zoals het veranderen van de grootte van de afbeelding, het veroorzaken van langzame aanvragen, enz.

  • Problemen met versies, zoals NGINX, enz.

  • Enkele functionele bugs die geen beveiligingsrisico vormen

  • Fysieke aanval op Bybit (powered by SATOS) /social engineering aanval op Bybit (powered by SATOS) medewerkers

 

 

Verboden gedrag

  • Social engineering en/of phishing uitvoeren

  • Details van een kwetsbaarheid lekken

  • Het testen van kwetsbaarheden is beperkt tot PoC (proof of concept) en destructief testen is ten strengste verboden. Als er onbedoeld schade wordt veroorzaakt tijdens het testen, moet dit op tijd worden gemeld. Ondertussen moeten gevoelige operaties die tijdens de test worden uitgevoerd, zoals verwijderen, wijzigen en andere operaties, worden uitgelegd in het rapport.

  • Een scanner gebruiken om op grote schaal te scannen. Als het bedrijfssysteem of netwerk niet beschikbaar is, wordt dit afgehandeld volgens de relevante wetgeving

  • Degenen die de kwetsbaarheid testen moeten proberen te voorkomen dat de pagina direct wordt gewijzigd, dat het berichtvenster blijft verschijnen (DNSLog wordt aanbevolen voor xss-verificatie), dat cookies worden gestolen en/of dat een agressieve payload wordt verkregen, zoals gebruikersinformatie (gebruik voor blinde xss-tests dnslog). Als je per ongeluk een agressievere payload gebruikt, verwijder deze dan onmiddellijk. Anders hebben we het recht om gerelateerde juridische aansprakelijkheden na te streven. 

Was dit nuttig?
Gerelateerde artikelen
Troubleshooting: Sending Your Screen Recording Video to Bybit (powered by SATOS))How to Optimize Your Trading Experience on BybitHow to Clear Cache and Cookies for Different BrowsersTroubleshooting: Obtaining a Har File from Your Web BrowserHow to Report Bugs on Android Devices