抹茶交易所漏洞赏金计划普通

MXC (抹茶) 交易所是全球领先的数字资产交易所,为用户提供安全、便捷、智能的区块链资产交易

期限:2019-07-15 - 2020-07-15
提交漏洞

描述

MXC (抹茶) 交易所是全球领先的数字资产交易所,为用户提供安全、便捷、智能的区块链资产交易

简介

MXC (抹茶) 交易所是全球领先的数字资产交易所,为用户提供安全、便捷、智能的区块链资产交易

规则

奖励规则


漏洞奖金按效果计算,奖金总额=严重漏洞奖励费用*个数+高危漏洞奖励费用*个数+中危漏洞奖励费用*个数+低危漏洞奖励费用*个数+改进建议漏洞奖励费用*个数 


严重漏洞最高单价 :5ETH -15 ETH

高危漏洞最高单价:2ETH -5 ETH 

中危漏洞最高单价:0.5ETH -2 ETH

低危漏洞最高单价:0.05ETH - 0.5 ETH


漏洞判定规则

严重漏洞:
第一、涉及获取大量账号信息、控制用户权限等漏洞;
1)可以直接批量获取用户核心数据的漏洞;例如:获取交易所用户的隐私信息等。
2)可以直接影响核心业务资金安全的漏洞;例如:盗刷资金、积分等。
第二、涉及机密数据漏洞;
1)可以直接导致大量数据泄露的漏洞;例如:内部人员数据、资金数据等。
2)可以直接窃取内部重要机密、战略信息的漏洞;例如:高管机密信息、战略投资决策机密信息等。
第三、涉及重要服务器控制权限、业务连续性等漏洞。
1)可以直接获取到业务的服务器权限的漏洞;例如:获取服务器或数据库权限等。
2)可以直接导致核心业务无法运行的漏洞;例如:可直接让指定目标服务业务中断等。
实现方式不仅限于:
a)直接获取核心系统权限的漏洞(服务器权限、数据库权限、PC客户端权限)。包括但不仅限于远程命令执行漏洞、任意代码执行漏洞、上传获取Webshell、SQL注入获取系统权限漏洞、缓冲区溢出漏洞(包括可利用的 ActiveX缓冲区溢出)。
b)直接导致目标业务拒绝服务的漏洞。包括但不仅限于直接导致移动网关业务API业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。
c)严重的敏感信息泄漏。包括但不仅限于核心 DB(资金、身份、交易相关) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。
d)严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

高危漏洞:
第一、涉及获取大量账号信息、控制用户权限等漏洞;
1)间接批量获取用户核心数据的漏洞或者直接获取重要核心数据的漏洞;例如:获取交易所用户的隐私信息。
2)间接影响核心业务资金安全的漏洞或者直接获取重要业务资金安全的漏洞;例如:盗刷资金、积分等。
第二、涉及机密数据漏洞;
1)间接导致大量数据泄露的漏洞或者直接导致较多数据的漏洞;例如:内部人员数据、资金数据等。
2)间接窃取内部重要机密、战略数据的漏洞;例如:高管机密信息、战略投资决策机密信息等。
第三、涉及重要服务器控制权限、业务连续性等漏洞。
1)间接获取到业务的服务器权限的漏洞或者直接获取边缘业务的服务器权限;例如:获取服务器或数据库权限等。
2)间接导致核心业务正常运行的漏洞或者直接导致边缘业务正常运行的漏洞;例如:可直接让指定目标服务业务中断等。

实现方式不仅限于:
a)敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文、移动API访问摘要、硬编码等问题引起的敏感信息泄露。
b)敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息的SSRF。
c)直接获取系统权限的漏洞(移动客户端权限)。包括但不仅限于远程命令执行、任意代码执行。
d)越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。
e)大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)和涉及交易、资金、密码的CSRF。

中危漏洞:
第一、涉及获取部分账号信息、控制用户权限等漏洞;
1)间接批量获取用户敏感数据的漏洞或者直接获取边缘业务数据的漏洞;例如:获取交易所用户的姓名信息等。
2)间接影响重要业务的漏洞或者直接获取边缘业务的敏感的漏洞;例如:盗刷资金、积分等。
第二、涉及较敏感的数据漏洞;
1)间接导致部分数据泄露的漏洞或者直接导致少量重要数据的漏洞;例如:内部人员数据、资金数据等。
2)间接窃取内部一般机密、业务数据的漏洞;例如:高管联系方式、内部业务数据信息等。
第三、涉及一般业务服务器控制权限、业务连续性等漏洞。
1)间接获取到业务的服务器低权限的漏洞;例如:获取服务器或数据库权限等。
2)间接导致边缘业务正常运行的漏洞;例如:苛刻条件下让指定目标服务业务中断等。

实现方式不仅限于:
a)需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS漏洞、反射型 XSS(包括反射型 DOM-XSS)、重要操作CSRF、URL跳转漏洞。
b)普通越权操作的漏洞。包括但不仅限于不正确的直接对象引用。影响业务运行的Broadcast消息伪造等Android组件权限漏洞等。
c)普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。
d)普通的逻辑设计缺陷和流程缺陷漏洞。

低危漏洞:
第一、涉及获取少量账号信息、部分信息泄露等漏洞;
1)苛刻条件下获取用户少量数据的漏洞;例如:获取交易所用户的姓名脱敏后的信息等
2)苛刻条件下影响一般业务数据的漏洞;例如:盗刷资金、积分等。
第二、涉及非敏感数据的漏洞;
1)苛刻条件下导致部分数据泄露的漏洞或者直接导致少量重要数据的漏洞;例如:内部人员数据、资金数据等。
2)苛刻条件下窃取内部业务数据的漏洞;例如:高管联系方式、内部业务数据信息等。

实现方式不仅限于:
a)本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由Android组件权限暴露、普通应用权限引起的问题等。
b)轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、PHPinfo、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。
c)难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF。

无影响:
1) 不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题;
2) 无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏;
3) 不能直接反映漏洞存在的其他问题,包括但不仅限于纯属用户猜测的问题等;

项目奖金

严重 5.00 -15.00 ETH

高危 2.00-5.00 ETH

中危 0.50 -2.00 ETH

低危 0.05 - 0.50 ETH