帮助中心

社区介绍

BUGX.IO生态系统是什么?

BUGX.IO生态系统是一个分布式专业安全服务平台,致力于通过人机结合的方式,为区块链生态厂商提供安全解决方案。平台通过安全社区与区块链之间的连接,鼓励安全专家对区块链生态应用合法安全测试,自动化审计协议依赖于去中心化的区块链网络来缓解整个流程中可能的恶意行为,为人工和自动化安全检测提供所需的算力和可靠的信用保障。

BUGX.IO区块链安全众测平台是什么?

BUGX.IO区块链安全众测平台是衔接全世界安全专家与厂商的桥梁,通过这个平台,安全专家可以提交漏洞并得到相应回报,厂商可以接受来时全世界安全专家的安全检测,共同打造良好的区块链安全生态

BUGX.IO社区福利有哪些?

平台实行预充值模式,每次测试厂商最少需要预充值50,000人民币等值的BUGX平台保证金;

每个漏洞确认支付奖金后,BUGX基金会将会回收20%;

BUGX基金会的福利将于每个自然月的最后一天00:00进行结算,其中:BUGX基金当月80%以空投的方式奖励回馈社区所有持BUGX用户;20%用于奖励平台当月按照漏洞提交数量排名TOP50、提交重大漏洞、对平台特殊贡献的白帽子

BUGX基金会将对原创性研究进行一定比例赞助;

定期组织顶尖白帽参加海内外高端旅游;后续会开放更多福利,敬请期待。

常见问题

漏洞审核需要多长时间?

根据项目类型不同分为区块链项目与项目漏洞

区块链项目:

审核:漏洞是否有效,如果有效我们会通过各方渠道积极与厂商取得联系,因此在“审核”完成后通常需要1-8天的时间等待厂商认领及处理。

确认:当有厂商认领处理漏洞后,通常1-2个工作日内我们就会确认该漏洞。如果8天以内没有厂商认领漏洞,8天之后1个工作日内我们就会确认该漏洞。

项目漏洞:

项目漏洞提交后是由厂商来审核的,根据厂商反馈的快慢确认速度也不同,但是厂商确认漏洞后的1个工作日内我们就会完成漏洞审核。

确认漏洞后多久发放奖励?

漏洞通过BUGX审核之后,会进入待认领阶段,等待厂商进行认领,认领时间为6个工作日。

漏洞接受的漏洞类型有哪些?

本平台接收的漏洞包括但不限于以下分类:

  • 智能合约缺陷
  • 威胁情报
  • 钱包安全
  • 链安全
  • Web漏洞
  • 移动客户端漏洞
  • PC客户端漏洞
  • 硬件漏洞

如何联系BUGX.IO

有关于平台的任何问题可以发邮件至:[email protected]

欢迎各位白帽们加入bugx社区电报群:https://t.me/BugxGroups

白帽子

何时能收到奖励?

漏洞审核通过,确认之后,奖励将自动发放到用户的资金账户。

如何提现奖励?

1、BUGX平台推行24小时极速提现流程,用户发起提现申请,将进入提现排队队列,等待系统发出;

2、系统将对每个账户的安全评级进行特殊处理,安全评级不够的用户(一般为登录IP异常的用户、加入了黑名单的用户、多次触发平台违规策略等,绝大部分用户不受影响),提现请求会被放入观察队列进行人工审核,审核后才会进入提现排队队列。审核时间一般为1工作日内,如安全评级正常用户,为24小时内发出。

3、每日提现限额最高为200 ETH,每次最小提现值为0.1 ETH(按市价等值计算)

平台接收的漏洞类型有哪些?

智能合约缺陷

威胁情报

钱包安全

Web漏洞

移动客户端漏洞

PC客户端漏洞

硬件漏洞

漏洞披露流程?

区块链漏洞

1、漏洞认领:

BUGX平台收到白帽子提交漏洞,主动通知厂商负责人认领漏洞,漏洞认领的有效时间为30天,逾期漏洞未认领该漏洞的提交者有权公开漏洞内容。

2、漏洞修复:

厂商在有效时间内成功认领漏洞,由BUGX.IO将漏洞移交给厂商负责人,负责人可对当前漏洞进行确认与修复;漏洞修复的有效时间为认领日起90天内,逾期漏洞未做确认处理,漏洞的提交者有权公开漏洞内容。

3、漏洞公开:

厂商在确认漏洞后转交平台,测试人员自此在3天时间内可对结果进行申诉并可以申请公开漏洞,申请后由厂商最终确定是否公开。厂商选择公开漏洞,我们将对所有测试人员公开漏洞的详细报告供研究使用。平台鼓励漏洞提交者和企业就披露期限有良好的沟通协商,如果双方无异议,披露时间可按协商时间而定。

项目漏洞

项目漏洞经白帽子提交给厂商后,所有内容会经过加密处理,漏洞不会公开

漏洞的处理过程是什么?

区块链漏洞

项目漏洞

1、白帽子提交漏洞,BUGX平台社区专家审核漏洞(漏洞审核员参照漏洞定级标准。即结合:指定漏洞厂商,漏洞资产属性、以及重新设置漏洞等级、报告完整度)

2、对白帽子提交的漏洞详情进行审核验证

3、对于区块链漏洞, BUGX平台通过公开渠道第一时间联系相关厂商,若厂商认领,则由厂商视具体情况发放漏洞奖励;若超过一定时期内厂商未认领,则BUGX会判断是否确认该漏洞并发放奖励。对于项目漏洞,将由厂商进行漏洞的确认,并决定发放奖励、关闭漏洞。

为什么有的是奖励 ETH,有的奖励 BUX?

漏洞奖励按照《漏洞奖励标准》进行评定和发放。

BUX是什么?

BUX是由BUGX.IO生态系统发行的开源加密令牌,用于BUGX.IO的项目发布、漏洞奖励、活动奖励、排名奖励、商品兑换、社区参与维持整个平台生态运营,后期平台陆续开放更多功能将有更多的应用场景,敬请期待。

厂商

如何发起项目?

请与 @bugx.io 联系,需要提供的信息如下:

1、测试范围(web端需要提供网页地址,APP提供下载地址或安装包)

2、联系信息(包括项目对接人,联系方式,企业邮箱)

如何认领漏洞?

方案一:在收到我们的漏洞提示邮件后在平台注册认证为厂商,我们会将历史记录中的所有该厂商漏洞全部转交。

方案二:主动注册认证成为BUGX.IO的厂商账号,一旦平台上接收到该厂商的区块链漏洞就会自动转发给该账号。

漏洞状态说明?

待审阅

BUGX平台须在该阶段对新提交的漏洞进行审阅,对漏洞初审,避免向厂商转交无效漏洞。

该阶段BUGX可以以下理由关闭漏洞:

  • 1、漏洞经确认不真实,并不可重现。
  • 2、漏洞过程证明过于简单(无截图等),厂商无法定位与修复漏洞。
  • 3、漏洞真实存在,但是影响不大,实际环境难以造成影响。
  • 4、漏洞属抄袭,或未经验证的提交。
  • 5、无法联系到厂商(组织太小且没有漏洞修复能力或已停止维护等)。
  • 6、漏洞与平台现有记录重复或互联网上已有细节公布。
待确认

这个阶段将与厂商取得联系,可能会花费数日,需要测试人员耐心等待。漏洞确认即代表厂商确认漏洞有效。对于特殊漏洞,将转交相关部门处理。

该阶段厂商可以以下理由关闭漏洞:

  • 1、漏洞重复。
  • 2、漏洞无效。
  • 3、漏洞已经被完全修复。
已确认

该阶段表明漏洞已经被厂商确认有效。

已关闭

该阶段表明漏洞已经被厂商完全处理(修复)并解决。

已公开

漏洞已超过保密期时间范围或双方协商一致,漏洞细节将会公开。

为什么要认领区块链漏洞?

BUGX是一个专业的互联网安全测试平台。世界上任意一名白帽子都能在该平台上为区块链厂商提交高威胁性安全问题,保障厂商业务的安全。 但也有很多白帽子苦于反馈漏洞情报没有渠道,或反馈后厂商对此问题置之不理。我们认为这是对白帽子负责任的披露及劳动成果的不尊重,同时也为了避免一些高威胁性安全问题由于得不到妥善处置而被不负责任的泄露至网络甚至被黑色产业恶意利用,BUGX平台针对区块链的安全问题进行接收和奖励,通过你我的努力让整个互联网生态更加健康与安全。

漏洞定级标准

漏洞定级

为了客观的评估漏洞的严重程度,采用了CVSS评估系统。此系统是基于CVSS v3(Common Vulnerability Scoring System,即“通用漏洞评分系统”),并根据实际应用场景进行优化。

CVSS评估系统有评估指标和评估过程两大部分构成。评估指标分为三个组成部分,分别是基础分,环境分和影响分,具体如下:

基础分

描述了安全漏洞固有的、根本性的属性。

基础分包含了8个指标:攻击矢量(AV)、攻击复杂度(AC)、权限要求(PR)、用户交互(UI)、范围(Scope)、机密性影响(CI)、完整性(II)、可用性(AI)。

环境分

描述了不同用户环境中产品安全漏洞的所造成的危害程度。

环境分包含了两个部分:安全需求及变动的基础分。安全需求有3个指标:机密性需求(CR)、完整性需求(IR)、可用性需求(AR)。变动的基础分打分维度与基础分一致。每个指标取值均包含Not Defined可选项,代表着该指标不影响安全漏洞的最终评分。

厂商类型

描述了漏洞所在厂商影响力级别。(详见《厂商类型分类依据》)

漏洞等级

根据以上指标计算最终评分,划分漏洞等级

  • 漏洞等级 分值
  • 严重 9.0 - 10.0
  • 高危 7.0 - 8.9
  • 中危 4.0 - 6.9
  • 低危 0 - 3.9

漏洞定级案例

AMR 漏洞
  • 漏洞详情://www.freebuf.com/vuls/176917.html
  • 漏洞类型:计算问题
  • 类型细分:批量转账溢出漏洞
  • 漏洞描述:批量转账溢出,可导致超额铸币,影响合约整体的token总量,可导致增发任意数额的AMR代币至任意以太坊账户
  • 基础分:漏洞隐蔽性中等,利用不复杂,需要前提条件,就是用户须先有一定的该合约token。
  • 环境分:

  • 厂商类型: 类

    产品类别:智能合约

    根据厂商分类智能合约分类,分为C 类,但可证明 Ammbr 厂商的重要性,上升为B 类。

    漏洞等级:

    8.0 分 高危

OKEx交易所SQL 注入
  • 漏洞类型:漏洞
  • 类型细分:注入
  • 漏洞描述:注入,可以获取数据库数据 ,其中包含账户密码敏感信息。能造成交易所数据泄露,影响其它用户的账户安全。
  • 基础分:
环境分:

由于此交易所站点属于厂商核心站点,因此安全需求均为高,其他变量不变。

厂商类型为A类。由厂商类型分类中交易所分类,分为 A 类

漏洞等级:

8.8 高危

注:以上均为示例,仅供参考,实际情况请自行调整。

漏洞定级评级工具

https://www.vulbox.com/cvss#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/CR:H/IR:H/AR:H

厂商类型分类依据

货币/公链

分类根据所有货币总市值排名: https://coinmarketcap.com/coins/views/all/

其中:

  • 1.总市值$100 Million以上为 A 类厂商 (数量约为前50名)
  • 2.总市值为$1 Million - $100 Million 为 B 类厂商 (数量约为 160)
  • 3.总市值为100k- $1 Million 为 C 类厂商 (数量约为 350)
  • 4.其他在排行榜上和未在排行榜但又有一定交易量和活跃用户的,为D类厂商
  • 5.无交易量或活跃用户的厂商暂不纳入收取范围

代币(Tokens)

分类根据所有货币总市值排名:https://coinmarketcap.com/coins/views/all/

其中:

  • 1.总市值$100 Million以上为 A 类厂商 (数量约为前20名)
  • 2.总市值为$1 Million - $100 Million 为 B 类厂商 (数量约为 600)
  • 3.总市值为100k- $1 Million为 C 类厂商 (数量约为 100)
  • 4.其他在排行榜上和未在排行榜但又有一定交易量和活跃用户的,为D类厂商
  • 5.无交易量或活跃用户的厂商暂不纳入收取范围

交易所(Exchanges)

根据Coinmarketcap交易所交易量排名或者非小号排名: https://coinmarketcap.com/exchanges/volume/24hour/all/

其中:

  • 1.交易量24h在$100 Million以上为 A 类厂商 (数量约为前20名)
  • 2.交易量24h在$1 Million - $100 Million 为 B 类厂商 (数量约为 100)
  • 3.交易量24h在为100k- $1 Million为 C 类厂商 (数量约为 100)
  • 4.交易量24h在为$10k- $100k 和没在排行榜上但是又有一定交易量和活跃用户的为D类厂商

其中:

  • 1.交易量24h在为$100 Million以上为 A 类厂商 (数量约为100)
  • 2.交易量24h在为$1 Million - $100 Million 为 B 类厂商
  • 3.交易量24h在为$100k- $1 Million为 C 类厂商
  • 4.交易量24h在为$10k- $100k 的为D类厂商
  • 5.没在排行榜上但是真实交易量大于$10k又有一定活跃用户的也归为D类
  • 6.交易量少于$10k或活跃用户少的厂商暂不纳入收取范围

数字钱包(Wallet)

以热钱包(Hot wallet)为主,包括移动端钱包、桌面端钱包、网页端钱包。

分类根据:https://www.cryptocompare.com/wallets/#/overview排名,github star数

其中:

  • github star 在 2000 以上为 A 类,1000-2000 为 B 类,500-1000为C类,100-500为D类。
  • cryptocompare在前20为A类,排名20-60为B类,其余在排行榜上的钱包为C类, 不在排行榜但是能证 明有活跃用户的为D类

智能合约/DApp

DApp包括基于以太坊和EOS合约的DApp,如游戏类DApp,休闲类DApp等

参考依据: https://dappradar.com/dapps

  • 其中在排行榜上且Balance >= 500 Ether 为A 类
  • 在排行榜上且Balance >= 50 Ether 为 B 类。
  • 在排行榜上且Balance >= 10 Ether 但仍然活跃的合约为C类。
  • 在排行榜上且Balance >= 1 Ether 或没在排行榜上有一定活跃用户量的为D类
  • 无活跃用户量或Balance很少的暂不收取

媒体资讯类

媒体资讯类网站包括报道区块链快讯的,虚拟货币财经类,区块链行业动态的媒体类网站,此类网站 与虚拟货币、区块链资产非直接相关,因此此类网站在正常奖励基础上均降低奖励

分类根据参考Alexa排名: http://alexa.chinaz.com/

全球排名5000以内的,为A类;全球排名5000-2W的,为B类;2W-10W的为C类; 排名10W以外的, 如果能证明有一定活跃用户量的为D类。

其余不在范围内的厂商暂不收取

注意:BUGX平台鼓励白帽子提交与区块链技术相关的漏洞(如公链源码缺陷,DApp漏洞,数字钱包 漏洞)。对于区块链相关的,非直接与区块链技术相关的相关厂商,均在原有基础上降低奖励。

矿机,算力交易类

矿机,算力交易类包括售卖矿机,算力的交易类网站

分类根据参考Alexa排名:http://alexa.chinaz.com/

全球排名5000以内的,为A类;全球排名5000-2W的,为B类;2W-10W的为C类; 排名10W以外的, 如果能证明有一定活跃用户量的为D类。

其余不在范围内的厂商暂不收取

注意:BUGX平台鼓励白帽子提交与区块链技术相关的漏洞(如公链源码缺陷,DApp漏洞,数字钱包 漏洞)。对于区块链相关的,非直接与区块链技术相关的相关厂商,均在原有基础上降低奖励。

交易类漏洞需作出实际危害证明,理论证明将会进行忽略处理。

矿池

分类根据矿池月排名:https://btc.com/stats/pool?pool_mode=month

A类:一月内排名前20

B类:不在排行榜上但是有一定算力

其他区块链技术相关网站

其他区块链技术相关网站包括链浏览器,链技术网站(如联盟链)等网站

分类根据Alexa排名:http://alexa.chinaz.com/

行业影响力(视具体情况而定)

全球排名5000以内的,为A类;全球排名5000-2W的,为B类;2W-10W的为C类; 排名10W以外的, 如果能证明有一定活跃用户量的为D类。

漏洞奖励标准

等级评定

货币/公链
严重

1.造成公链分叉,包括但不限于51%攻击

2.造成任意资金被盗的

3.影响严重的系统逻辑设计缺陷漏洞,如绕过验证机制在区块链生成大量coin

高危

1.节点DDOS造成拒绝服务,影响链的正常运行

2.影响大量用户资金安全的

3.影响重大的系统逻辑设计缺陷漏洞

中危

1.在一定条件下,盗取账户资金的,如通过接口爆破获取节点账户,并且成功解密解锁账户资金

2.有一定影响范围的系统逻辑设计缺陷漏洞

3.部分敏感信息泄露

低危

1.普通信息泄露

2.轻微的逻辑设计缺陷漏洞

3.造成资源滥用如造成主网网络堵塞

代币(Tokens)
严重

1.危及合约内的所有数字资产或可盗取大量合约用户资产的,包括但不限于通过重入漏洞提取合约内所 有资金,通过溢出漏洞大量盗取合约内资产

高危

1.无条件使合约重要功能拒绝服务;

2.有限条件下窃取合约内或合约用户数字资产;

3.造成合约内所有资产冻结

1.合约权限控制缺陷导致资产损失

中危

1.使有限的用户数字资产额外增发或销毁

2.造成合约内有限资产冻结

3.造成合约内所有资产冻结

4.合约权限控制缺陷导致资产损失

低危

1.由于函数使用不当而存在危害的漏洞

注意:

低危漏洞中对于已知或网络公开的合约漏洞类型,则该漏洞将被忽略

交易所(Exchanges)
严重

1.直接获取核心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等;

2.核心系统严重的信息泄露漏洞,包括但不限于核心DB的SQL注入、大量用户严重敏感身份信息泄 露(至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)、交易所内部 核心数据泄露等;

3.核心系统严重的逻辑设计或流程缺陷,包括但不限于批量修改任意账号密码漏洞、任意账号资金消 费、任意金额修改的支付漏洞等;

4.严重影响核心系统可用性的漏洞,如可直接导致核心系统业务瘫痪的拒绝服务漏洞;

高危

1.直接获取重要业务服务器权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行;

2.直接导致重要的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞;重要业务大量源码泄露;

3.严重的越权访问。包括但不限于绕过认证访问重要系统后台;批量盗取用户重要身份信息;

4.较严重的逻辑设计或流程缺陷,包括但不限于重要系统任意密码重置漏洞;

中危

1.需交互才能获取用户身份信息的漏洞。包括但不限于核心及重要系统存储型XSS漏洞;

2.任意文件操作漏洞。包括但不限于任意文件读、写、删除、下载等操作;

3.普通的越权访问。包括但不限于绕过限制修改用户资料、执行用户操作、读取用户信息;绕过限制 访问非重要系统后台;

4.比较严重的信息泄漏漏洞。包括但不限于敏感信息文件泄露(如DB连接密码);

低危

1.反射型XSS;非重要系统存储型XSS;

2.敏感操作的CSRF;URL跳转;危害有限的越权操作(如越权删除银行卡,API等);

3.轻微信息泄漏。非核心系统的svn信息泄露;非重要信息的泄露(如不能利用的DB连接密码等);

4.难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点;

智能合约/DApp
严重

1.危及合约内的所有数字资产或可盗取大量合约用户资产的,包括但不限于通过重入漏洞提取合约内所 有资金,通过溢出漏洞大量盗取合约内资产

高危

1.无条件使合约重要功能拒绝服务;

2.有限条件下窃取合约内或合约用户数字资产;

3.造成合约内所有资产冻结

4.合约权限控制缺陷导致资产损失

中危

1.使有限的用户数字资产额外增发或销毁

2.造成合约内有限资产冻结

低危

1.由于函数使用不当而存在危害的漏洞

注意:

低危漏洞中对于已知或网络公开的合约漏洞类型,则该漏洞将被忽略

数字钱包(Wallet)

数字钱包客户端漏洞不收取植入木马,通过社工等手段才能利用的漏洞

严重

1.可任意执行远程代码的漏洞。

2.导致钱包所有资产被盗取的漏洞。

3.导致钱包严重敏感信息泄露,如助记词,私钥泄露并可通过凭证恢复钱包

高危

1.导致钱包有限资产被盗取

中危

1.导致部分敏感信息泄露

低危

1.本地客户端拒绝服务

2.本地SQL注入

媒体资讯/矿机,算力交易类
严重

1.直接获取核心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等;

2.核心系统严重的信息泄露漏洞,包括但不限于核心DB的SQL注入、大量用户严重敏感身份信息泄 露(至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)等;

3.核心系统严重的逻辑设计或流程缺陷,包括但不限于批量修改任意账号密码漏洞;任意账号资金消 费、任意金额修改的支付漏洞等;

4.严重影响核心系统可用性的漏洞,如可直接导致核心系统业务瘫痪的拒绝服务漏洞;

高危

1.直接获取重要业务服务器权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执 行;

2.直接导致重要的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞;重要业务大量源码泄露;

3.严重的越权访问。包括但不限于绕过认证访问重要系统后台;批量盗取用户重要身份信息;

4.较严重的逻辑设计或流程缺陷,包括但不限于重要系统任意密码重置漏洞;

中危

1.需交互才能获取用户身份信息的漏洞。包括但不限于核心及重要系统存储型XSS漏洞;

2.任意文件操作漏洞。包括但不限于任意文件读、写、删除、下载等操作;

3.普通的越权访问。包括但不限于绕过限制修改用户资料、执行用户操作、读取用户信息;绕过限制 访问非重要系统后台;

4.比较严重的信息泄漏漏洞。包括但不限于敏感信息文件泄露(如DB连接密码);

低危

1.反射型XSS;非重要系统存储型XSS;

2.敏感操作的CSRF;URL跳转;危害有限的越权操作;

3.轻微信息泄漏。非核心系统的svn信息泄露;非重要信息的泄露(如不能利用的DB连接密码等);

4.难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点;

矿池
严重

1.直接获取矿池心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等;

高危

1.对矿池服务器造成拒绝服务攻击,导致业务不能正常进行

2.造成矿池利益损害的,包括但不限于块代扣攻击

3.修改矿池给矿工的挖矿奖励

中危

1.大量泄露矿工敏感信息

低危

1.越权访问。包括但不限于绕过限制修改用户资料、执行用户操作、读取用户信息;绕过限制访问非重要系统后台

其他区块链技术相关网站
严重

1.直接获取核心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等;

2.核心系统严重的信息泄露漏洞,包括但不限于核心DB的SQL注入、大量用户严重敏感身份信息泄 露(至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)、内部核心数 据泄露等;

3.核心系统严重的逻辑设计或流程缺陷,包括但不限于批量修改任意账号密码漏洞、任意账号资金消 费、任意金额修改的支付漏洞等;

4.严重影响核心系统可用性的漏洞,如可直接导致核心系统业务瘫痪的拒绝服务漏洞;

高危

1.直接获取重要业务服务器权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执 行;

2.直接导致重要的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞;重要业务大量源码泄露;

3.严重的越权访问。包括但不限于绕过认证访问重要系统后台;批量盗取用户重要身份信息;

4.较严重的逻辑设计或流程缺陷,包括但不限于重要系统任意密码重置漏洞;

中危

1.需交互才能获取用户身份信息的漏洞。包括但不限于核心及重要系统存储型XSS漏洞;

2.任意文件操作漏洞。包括但不限于任意文件读、写、删除、下载等操作;

3.普通的越权访问。包括但不限于绕过限制修改用户资料、执行用户操作、读取用户信息;绕过限制 访问非重要系统后台;

4.比较严重的信息泄漏漏洞。包括但不限于敏感信息文件泄露(如DB连接密码);

低危

1.反射型XSS;非重要系统存储型XSS;

2.敏感操作的CSRF;URL跳转;危害有限的越权操作(如越权删除银行卡,API等);

3.轻微信息泄漏。非核心系统的svn信息泄露;非重要信息的泄露(如不能利用的DB连接密码等);

4.难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点;

奖励规则

奖励规则

表中数值均为奖励最高值,其中奖励为ETH同时也奖励适量BUX

货币/公链
严重 高危 中危 低危
A类 20 ETH 16 ETH 5 ETH 1 ETH
B类 12 ETH 6 ETH 3 ETH 0.7 ETH
C类 5 ETH 3 ETH 1 ETH 0.5 ETH
D类 1 ETH 0.6 ETH 0.3 ETH 0.1 ETH
代币(Tokens)
严重 高危 中危 低危
A类 16 ETH 10 ETH 3 ETH 1 ETH
B类 10 ETH 5 ETH 2 ETH 0.5 ETH
C类 3.6 ETH 2 ETH 0.6 ETH 0.08 ETH
D类 0.8 ETH 0.5 ETH 0.2 ETH 0.08 ETH
交易所(Exchanges)
严重 高危 中危 低危
A类 无上限 无上限 3.5 ETH 0.6 ETH
B类 1.5 ETH 1.0 ETH 0.6 ETH 0.2 ETH
C类 1.2 ETH 0.8 ETH 0.4 ETH 0.15 ETH
D类 1.0 ETH 0.6 ETH 0.3 ETH 0.1 ETH
E类 900 BUX 400 BUX 200 BUX 50 BUX
智能合约/DApp
严重 高危 中危 低危
A类 15 ETH 10 ETH 5 ETH 0.5 ETH
B类 10 ETH 5 ETH 3 ETH 0.3 ETH
C类 5 ETH 3 ETH 1 ETH 0.2 ETH
D类 1 ETH 0.8 ETH 0.3 ETH 800 BUX
数字钱包(Wallet)
严重 高危 中危 低危
A类 16 ETH 8 ETH 3 ETH 0.5 ETH
B类 5 ETH 3 ETH 1.2 ETH 0.2 ETH
C类 2 ETH 1 ETH 0.5 ETH 0.1 ETH
D类 0.6 ETH 0.36 ETH 0.2 ETH 300 BUX
矿池
严重 高危 中危 低危
A类 15 ETH 10 ETH 5 ETH 0.5 ETH
B类 视情况而定 视情况而定 视情况而定 视情况而定
其他非直接区块链相关漏洞
严重 高危 中危 低危
A类 1.0 ETH 0.5 ETH 0.2 ETH 0.02 ETH
B类 0.5 ETH 0.2 ETH 0.02 ETH 0.01 ETH
C类 900 BUX 400 BUX 200 BUX 50 BUX
D类 90 BUX 40 BUX 20 BUX 10 BUX

漏洞具体处理规范

声明

漏洞奖励以白帽子实际证明的危害为准。如敏感信息泄露以白帽子指出的危害性为准,未指出危害 的,审核人员根据报告给出的信息进行漏洞评级。如仅理论上说明可getshell或连接核心数据库的,却没有实际证明的,按实际证明危害为准,理论说明不予确认。

漏洞等级以漏洞审核实际评定为准,若出现审核复现不成功的,且评论后无更多证明,漏洞将会忽 略。

弱口令问题

同一套系统多个用户弱口令问题只确认第一个,后续提交算重复漏洞;同一个用户弱口令可登陆不同 系统,算同一漏洞,合并处理。

重要系统/敏感业务:管理权限用户弱口令,高危。普通权限用户弱口令:中低危;非重要系统/普通 业务:管理权限用户弱口令:中危。普通权限用户弱口令低危。

爆破类漏洞

爆破类漏洞需要给出实际证明,如注册用户可枚举需要给出部分数据证明

XSS漏洞

存储型XSS若不能打cookie,则判定为危害有限,奖励适当调整。

SQL注入

SQL注入至少需要给出一条数据证明证明危害,仅仅报错无危害证明将被忽略

使用sqlmap证明时需要给出特定的参数以便于复现漏洞,若漏洞不能按报告中复现可能按忽略处理

信息泄露判定

高危(严重)信息泄露定义:至少包含三个敏感字段(姓名,身份证,密码,手机号,地址,银行卡号, 其他隐私信息);中危信息泄露,包含部分敏感字段,数量中等,如泄露姓名和身份证号或非敏感交 易数据 ;低危(忽略),轻微敏感信息或者公开信息泄露,如泄露个人账号和手机号

从外部渠道获取的信息泄露,需要证明资产归属,如github信息泄露需要提供必要信息证明为该厂商 资产

信息泄露需要指出具体造成的危害,奖励按照白帽子指出的危害评定。如信息泄露造成数据库连接信息泄露或泄露sql文件

漏洞提交规范

白帽子提供的漏洞报告需要详细给出复现关键步骤,标明漏洞具体位置和url,不能仅给出厂商IP,有域名的需要给出域名。Payload需要以文字形式贴在漏洞报告中,不能仅仅提现在截图中。若漏洞报告不完善或者提供信息错误,白帽子奖励降低或者需要重新提交漏洞报告

厂商保护原则

如果同一个系统中短时间发现了大量的同类型高危漏洞(如SQL注入、越权等),审核员判定该系统 几乎没有做任何防护,会与厂商沟通该系统的该类型漏洞是否要继续收取;若厂商表示该类漏洞已知 不再收取,则平台方正常审核前三个该类型漏洞,其他已提交的同类型漏洞降级处理,发布通知后同 系统同类型漏洞均不再收取,直到厂商重新开放该漏洞类型收取。

漏洞等级调整

部分漏洞仅做概念性证明评定为低危或者忽略。如仅证明后台可爆破但没有实际进入后台的漏洞将忽 略。

利用难度大的漏洞降级或者忽略,如六位验证码重置密码将被忽略,六位以下验证码重置密码但是爆 破速度特别慢降级处理。对于只能在特定浏览器触发的XSS漏洞,将会酌情降低奖励。

对于边缘/废弃业务系统,根据实际情况酌情降级,如无交易量的交易所,无活跃用户或者活跃用户 特别少的业务系统。无危害影响的,可能会进行忽略。边缘业务如某一主站域名的81测试端口产生不 涉及主站业务的。

非主站域名如子域名根据业务是否为核心适当调整奖励。

危害性低或无危害性的酌情收取,如phpinfo泄露如不能证明具体危害的,无敏感信息的目录遍历, 非敏感配置信息,报错信息,无危害证明的URL跳转忽略和非敏感业务的CSRF。

多个漏洞打包

同一白帽子提交同一网站多个漏洞,若存在前后关系或因果关系,漏洞进行合并。若其中一个漏洞已 进行奖励,则之后应合并的漏洞奖励降低。

同一漏洞源

同一个漏洞源产生的多个漏洞计漏洞数量为一。例如同一个接口引起的多个安全漏洞、框架导致的整 站的安全漏洞;因为厂商未做身份校验导致的多个接口越权或者是未做token校验导致的多个CSRF漏 洞;同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录等;相同功能处的添加、 编辑、删除等操作都出现同类型漏洞(例如平行权限)时;网站内由相同上传组件导致不同功能处都存 在的任意文件上传类漏洞等,按同一漏洞合并处理。

一洞多投

系统会从多个信息源检索是否有相同厂商的相同漏洞,如发现一洞多投的现象,只进行积分奖励。

重复漏洞

系统会自动检测BUGX平台的历史漏洞,如发现重复漏洞,则进行忽略处理。

厂商联系

对于无联系方式的厂商又无认领的漏洞,漏洞可能被忽略

区块链相关厂商

BUGX平台鼓励白帽子提交与区块链技术相关的漏洞(如区块链技术网站,DApp网站,矿池网站)。对 于区块链相关的资讯或者矿机商城类相关厂商,奖励酌情降低。

问题协商

漏洞提交后如有任何疑问请联系客服小姐姐微信:vitamin_101

平台积分

什么是积分?

BUGX.IO积分系统是一套将漏洞价值量化的计分系统,该系统通过将漏洞量化为“有效性”,“漏洞等级”,“报告质量”三个大维度并延伸出几十种计分组合,结合全新的《漏洞定级标准》充分公平的衡量每个漏洞的价值。

积分有什么用?

积分可以用于排行榜排名(排名有定期奖励),组织团队,同时对于内部项目会有优先选择权。

积分规则