Chương Trình Tìm Lỗi (Bug Bounty Program)

Chúng tôi rất vui mừng được công bố chương trình Bug Bounty mới của mình.

Với cam kết đảm bảo một môi trường giao dịch an toàn cho người dùng khi Backpack Exchange tiếp tục phát triển, chúng tôi tận dụng chuyên môn từ cộng đồng để nâng cao bảo mật của nền tảng.

Quy Tắc

Phần thưởng được chia thành năm cấp độ, dựa trên mức độ nghiêm trọng của lỗ hổng được phát hiện.

Mức thưởng cụ thể như sau:

Nghiêm trọng : $10,000 – $100,000 USD
Cao : $5,000 – $10,000 USD
Trung bình: $500 – $5,000 USD
Thấp: $50 – $500 USD

‍

Khi báo cáo lỗi hoặc lỗ hổng của bạn được chấp nhận, phần thưởng sẽ được thanh toán bằng USDC. Lưu ý rằng mức độ đe dọa sẽ được đánh giá bởi đội ngũ bảo mật của Backpack, và Backpack giữ toàn quyền quyết định liệu một báo cáo có đủ điều kiện nhận thưởng hay không.

Phạm Vi Các Lỗ Hổng

Các mô-đun sau đây nằm trong phạm vi của chương trình bug bounty:

Tiêu chí

Báo cáo nên tập trung vào các loại lỗ hổng sau:

Các vấn đề về logic nghiệp vụ có thể dẫn đến mất tài sản của người dùng.
Gian lận/thao túng thanh toán.
Thực thi mã từ xa (RCE).
Rò rỉ thông tin nhạy cảm.
Các lỗ hổng nghiêm trọng theo OWASP như XSS, CSRF, SQLi, SSRF, IDOR và các lỗ hổng tương tự.
Các lỗ hổng khác có thể gây ra thiệt hại tiềm ẩn.

Ngoại lệ

Các vấn đề sau KHÔNG nằm trong phạm vi của chương trình bug bounty:

Các lỗ hổng mang tính lý thuyết chưa được chứng minh.
Lỗi trong mã xác minh email, liên kết đặt lại mật khẩu đã hết hạn, hoặc chính sách độ phức tạp mật khẩu.
Clickjacking và chuyển hướng giao diện người dùng với ảnh hưởng bảo mật nhỏ.
Lỗ hổng trong ứng dụng hoặc phần mềm bên thứ ba.
Khai thác zero-day dưới 30 ngày tuổi.
Tấn công kỹ thuật xã hội và lừa đảo phishing.
Tấn công từ chối dịch vụ (DoS).
Thu thập email, số điện thoại, hoặc tên người dùng.
Lỗi đã biết, gửi trùng lặp, hoặc lỗ hổng đã được tiết lộ.
Tấn công vật lý.
Các lỗ hổng chỉ có thể khai thác trên phiên bản trình duyệt hoặc nền tảng cũ.
Sử dụng lỗ hổng codebase đã biết nhưng không có bằng chứng cụ thể.
Thiếu cờ bảo mật trong cookie.
Các vấn đề liên quan đến socket SSL/TLS không an toàn hoặc phiên bản giao thức cũ.
Lừa đảo dựa trên nội dung.
Vấn đề quản lý bộ nhớ đệm (cache).
Rò rỉ IP nội bộ hoặc tên miền.
Thiếu các tiêu đề bảo mật mà không thể khai thác trực tiếp.
Vấn đề CSRF với tác động không đáng kể (ví dụ như thêm vào mục yêu thích, thêm vào giỏ hàng, đăng ký nhận thông báo, v.v.).
Các vấn đề không gây tác động đến bảo mật.

‍

Mọi thắc mắc hoặc gửi báo cáo, vui lòng liên hệ chúng tôi qua email: bugbounty@backpack.exchange.

‍

Chúng tôi mong nhận được sự tham gia của bạn và cảm ơn bạn đã giúp chúng tôi duy trì một môi trường giao dịch an toàn và đáng tin cậy.

PreviousĐơn đăng ký niêm yết token NextHoàn phí Giới thiệu

Last updated 2 months ago

Quy Tắc

Phần thưởng được chia thành năm cấp độ, dựa trên mức độ nghiêm trọng của lỗ hổng được phát hiện.

Mức thưởng cụ thể như sau:

Nghiêm trọng : $10,000 – $100,000 USD

Cao : $5,000 – $10,000 USD

Trung bình: $500 – $5,000 USD

Thấp: $50 – $500 USD

‍

Tiêu chí

Báo cáo nên tập trung vào các loại lỗ hổng sau:

Các vấn đề về logic nghiệp vụ có thể dẫn đến mất tài sản của người dùng.

Gian lận/thao túng thanh toán.

Thực thi mã từ xa (RCE).

Rò rỉ thông tin nhạy cảm.

Các lỗ hổng nghiêm trọng theo OWASP như XSS, CSRF, SQLi, SSRF, IDOR và các lỗ hổng tương tự.

Các lỗ hổng khác có thể gây ra thiệt hại tiềm ẩn.

Ngoại lệ

Các vấn đề sau KHÔNG nằm trong phạm vi của chương trình bug bounty:

Các lỗ hổng mang tính lý thuyết chưa được chứng minh.

Lỗi trong mã xác minh email, liên kết đặt lại mật khẩu đã hết hạn, hoặc chính sách độ phức tạp mật khẩu.

Clickjacking và chuyển hướng giao diện người dùng với ảnh hưởng bảo mật nhỏ.

Lỗ hổng trong ứng dụng hoặc phần mềm bên thứ ba.

Khai thác zero-day dưới 30 ngày tuổi.

Tấn công kỹ thuật xã hội và lừa đảo phishing.

Tấn công từ chối dịch vụ (DoS).

Thu thập email, số điện thoại, hoặc tên người dùng.

Lỗi đã biết, gửi trùng lặp, hoặc lỗ hổng đã được tiết lộ.

Tấn công vật lý.

Các lỗ hổng chỉ có thể khai thác trên phiên bản trình duyệt hoặc nền tảng cũ.

Sử dụng lỗ hổng codebase đã biết nhưng không có bằng chứng cụ thể.

Thiếu cờ bảo mật trong cookie.

Các vấn đề liên quan đến socket SSL/TLS không an toàn hoặc phiên bản giao thức cũ.

Lừa đảo dựa trên nội dung.

Vấn đề quản lý bộ nhớ đệm (cache).

Rò rỉ IP nội bộ hoặc tên miền.

Thiếu các tiêu đề bảo mật mà không thể khai thác trực tiếp.

Vấn đề CSRF với tác động không đáng kể (ví dụ như thêm vào mục yêu thích, thêm vào giỏ hàng, đăng ký nhận thông báo, v.v.).

Các vấn đề không gây tác động đến bảo mật.

‍

Mọi thắc mắc hoặc gửi báo cáo, vui lòng liên hệ chúng tôi qua email: bugbounty@backpack.exchange.

‍

Chúng tôi mong nhận được sự tham gia của bạn và cảm ơn bạn đã giúp chúng tôi duy trì một môi trường giao dịch an toàn và đáng tin cậy.