本体漏洞赏金计划普通

本体是新一代公有基础链项目及分布式信任协作平台,旨在通过设计通用协议、通用模块及通用规则,让现实世界和分布式数字体系能够连接起来。最终解决社会的信任问题。

期限:2019-03-12 - 2020-03-12
提交漏洞

描述

本体是新一代公有基础链项目及分布式信任协作平台,旨在通过设计通用协议、通用模块及通用规则,让现实世界和分布式数字体系能够连接起来。最终解决社会的信任问题。

简介

本体--新一代公有基础链项目及分布式信任协作平台,旨在通过设计通用协议、通用模块及通用规则,让现实世界和分布式数字体系能够连接起来。最终解决社会的信任问题。

规则

一、奖励规则

严重 :8000 USDT + 8000 BUX

高危: 3200 ONG + 3000 BUX

中危: 1600 ONG + 1500 BUX

低危: 320 ONG + 800 BUX


备注:最终发放的奖励取决于漏洞严重程度和漏洞真实影响,表格中的数值为各等级最高奖励,严重漏洞奖励会以发放前一日 ONG/USDT 价格以 ONG 的形式发放。


二、评判标准


严重漏洞

严重的漏洞是指,发生在核心系统业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统),可造成大面积影响的,获取大量(依据实际情况酌情限定)业务系统控制权限,获取核心系统管理人员权限并且可控制核心系统。

包括但不限于:

(1)内网多台机器控制

(2)核心后台超级管理员权限获取且造成大范围企业核心数据泄露,可造成巨大影响

(3)智能合约溢出、条件竞争漏洞

高危漏洞

(1)系统的权限获得(getshell、命令执行等)

(2)系统的 SQL 注入(后台漏洞降级,打包提交酌情提升)

(3)敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的 SSRF 等)

(4)任意文件读取

(5)可获取任意信息的 XXE 漏洞

(6)涉及金钱的越权操作、支付逻辑绕过(需最终利用成功)

(7)严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意用户登录漏洞、批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等,验证码爆破除外

(8)大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等

(9)大量源代码泄露

(10)智能合约权限控制缺陷

中危漏洞

(1)需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS,涉及核心业务的 CSRF 等

(2)普通越权操作。包括但不限于绕过限制修改用户资料、执行用户操作等

(3)拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等

(4)由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作可被爆破成功造成的漏洞

(5)本地保存的敏感认证密钥信息泄露,需能做出有效利用

低危漏洞

(1)本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等

(2)普通信息泄露。包括但不限于 Web 路径遍历、系统路径遍历、目录浏览等

(3)反射型 XSS(包括 DOM XSS / Flash XSS)

(4)普通 CSRF

(5)URL 跳转漏洞

(6)短信炸弹、邮件炸弹(每个系统只收一个此类型漏洞)

(7)其他危害较低、不能证明危害的漏洞(如无法获取到敏感信息的 CORS 漏洞)

(8)无回显的且没有深入利用成功的 SSRF

项目奖金

严重 8000 USDT

高危 3200 ONG

中危 1600 ONG

低危 320 ONG