严重漏洞
严重的漏洞是指,发生在核心系统业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统),可造成大面积影响的,获取大量(依据实际情况酌情限定)业务系统控制权限,获取核心系统管理人员权限并且可控制核心系统。
包括但不限于:
- 内网多台机器控制
- 核心后台超级管理员权限获取且造成大范围企业核心数据泄露,可造成巨大影响
- 智能合约溢出、条件竞争漏洞
高危漏洞
- 系统的权限获得(getshell、命令执行等)
- 系统的 SQL 注入(后台漏洞降级,打包提交酌情提升)
- 敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的 SSRF 等)
- 任意⽂件读取
- 可获取任意信息的 XXE 漏洞
- 涉及金钱的越权操作、支付逻辑绕过(需最终利用成功)
- 严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意用户登录漏洞、批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等,验证码爆破除外
- 大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等
- 大量源代码泄露
- 智能合约权限控制缺陷
中危漏洞
- 需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS,涉及核心业务的 CSRF 等
- 普通越权操作。包括但不限于绕过限制修改用户资料、执行用户操作等
- 拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等
- 由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作可被爆破成功造成的漏洞
- 本地保存的敏感认证密钥信息泄露,需能做出有效利用
低危漏洞
- 本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等
- 普通信息泄露。包括但不限于 Web 路径遍历、系统路径遍历、目录浏览等
- 反射型 XSS(包括 DOM XSS / Flash XSS)
- 普通 CSRF
- URL 跳转漏洞
- 短信炸弹、邮件炸弹(每个系统只收一个此类型漏洞)
- 其他危害较低、不能证明危害的漏洞(如无法获取到敏感信息的 CORS 漏洞)
- 无回显的且没有深入利用成功的 SSRF
暂不收取的漏洞类型(提交此类漏洞,厂商将忽略)
- 邮件伪造漏洞
- 接口穷举爆破已注册用户名类漏洞
- Self-XSS & HTML注入
- 网页缺少 CSP、SRI 安全策略
- 非敏感操作的 CSRF 问题
- 单独的安卓 APP android:allowBackup=”true” 问题,本地拒绝服务问题等(深入利用的除外)
- 修改图片 size 造成的请求缓慢等问题
- Nginx 或其他中间件版本泄露的问题
- 一些功能 BUG,无法造成安全风险的问题
- 针对 Bybit 的物理攻击/针对 Bybit 员工的社会工程学攻击
禁止行为
- 禁止对人员社工、钓鱼行为;
- 漏洞禁止对外传播行为;
- 测试漏洞仅限证明性测试,严禁破坏性测试,若无意中造成危害,应及时报告,同时测试中进行的敏感操作,例如删除,修改等操作,请在报告中说明;
- 禁止使用扫描器进行大规模扫描,造成业务系统或网络不可用则按相关法律处理;
- 测试漏洞的应尽量避免直接修改页面、重复弹框(xss 验证建议使用 log)、盗取 cookie、获取其他用户信息等攻击性较强的 payload(如果是测试盲打,请使用 dnslog);如不慎使用了攻击性较强的 payload,请及时删除,否则我们有权追究相关法律责任。