QTUM漏洞赏金计划普通

量子链是一个开源的社区,可以通过价值传输协议(Value Transfer Protocol)来实现点对点的价值转移,并根据此协议,构建一个支持多个行业(金融、物联网、供应链、社交游戏等)的去中心化的应用开发平台(DAPP Platform)

期限:2019-04-10 - 2020-04-10
提交漏洞

描述

量子链是一个开源的社区,可以通过价值传输协议(Value Transfer Protocol)来实现点对点的价值转移,并根据此协议,构建一个支持多个行业(金融、物联网、供应链、社交游戏等)的去中心化的应用开发平台(DAPP Platform)

简介

量子链是一个开源的社区,可以通过价值传输协议(Value Transfer Protocol)来实现点对点的价值转移,并根据此协议,构建一个支持多个行业(金融、物联网、供应链、社交游戏等)的去中心化的应用开发平台(DAPP Platform)

规则

漏洞奖金按效果计算,奖金总额=严重漏洞奖励费用*个数+高危漏洞奖励费用*个数+中危漏洞奖励费用*个数+低危漏洞奖励费用*个数+改进建议漏洞奖励费用*个数。

严重漏洞  提交与解决问题:10000 $      仅提交问题:2000 $

高危漏洞  提交与解决问题:5000 $         仅提交问题:1000 $

中危漏洞  提交与解决问题:2500 $        仅提交问题:  600 $

低危漏洞  提交与解决问题 :1200$         仅提交问题: 400 $

改进建议漏洞  提交与解决问题:600 $    仅提交问题:200 $

* 以上奖励均为最高奖励,且最终奖励为与以上奖励等值的 QTUM token


严重漏洞
严重的漏洞是指,发生在核心系统业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统),可造成大面积影响的,获取大量(依据实际情况酌情限定)业务系统控制权限,获取核心系统管理人员权限并且可控制核心系统。
包括但不限于:
1)内网多台机器控制
2)核心后台超级管理员权限获取且造成大范围企业核心数据泄露,可造成巨大影响
3)智能合约溢出、条件竞争漏洞等会导致主网出现严重的数据问题。
4)共识层漏洞或者以较小的代价对主网产生严重的 DDos,直接导致主网崩溃或者无法正常出块
5)由于节点溢出、命令执行等问题导致节点服务器被入侵、数据泄密、系统文件读取、命令执行等危害
6)由于共识机制缺陷而发生的可利用的女巫攻击、双花等

高危漏洞
1)系统的权限获得(getshell、命令执行等)
2)系统的 SQL 注入(后台漏洞降级,打包提交酌情提升)
3)敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的 SSRF 等)
4)任意文件读取
5)可获取任意信息的 XXE 漏洞
6)涉及金钱的越权操作、支付逻辑绕过(需最终利用成功)
7)严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意用户登录漏洞、批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等,验证码爆破除外
8)大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等
9)大量源代码泄露
10)共识层消息处理不当,少部分节点影响。
11)通过全节点 P2P 网络入侵服务器获取控制权限
12)涉及金钱的越权操作、支付逻辑绕过(需最终利用成功)
13)异常智能合约攻击,避免耗尽节点资源
14)加密算法的错误实现或使用,包括加密、解密、签名、验证等过程

中危漏洞
1)需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS,涉及核心业务的 CSRF 等
2)普通越权操作。包括但不限于绕过限制修改用户资料、执行用户操作等
3)由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作可被爆破成功造成的漏洞
4)本地保存的敏感认证密钥信息泄露,需能做出有效利用
5)主链业务设计缺陷,导致业务无法正常实现。
6)RPC 接口或者交易在参数处理中不合理,导致一些较为严重的问题,比如系统的 SQL 注入等。
7)受限拒绝服务漏洞。在一定限制下,导致应用拒绝服务等造成影响的远程拒绝服务漏洞等。
8)本地保存的敏感认证密钥信息泄露,需能做出有效利用。

低危漏洞
1)本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等
2)普通信息泄露。包括但不限于 Web 路径遍历、系统路径遍历、目录浏览等
3)反射型 XSS(包括 DOM XSS / Flash XSS)
4)URL 跳转漏洞
5)短信炸弹、邮件炸弹(每个系统只收一个此类型漏洞)
6)其他危害较低、不能证明危害的漏洞(如无法获取到敏感信息的 CORS 漏洞)
7)无回显的且没有深入利用成功的 SSRF
8)本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务。
9)RPC 接口返回值或者一些数据结构设计不合理影响用户体验,需要指出不合理的地方
10)一些较为严重的用户体验问题
11)其他危害较低、不能证明危害的漏洞


项目奖金

严重 10000 $

高危 5000 $

中危 2500 $

低危 1200$