漏洞賞金計畫
關於計畫
XREX 是一家支持區塊鏈的金融機構,與銀行、監管機構和用戶合作,共同重新定義銀行業務。 我們為處於新興市場或與新興市場打交道的中小型企業 (SMB) 提供企業級銀行服務,並為全球個人提供對新手友好的金融服務。
我們致力於提供安全穩定的軟體和服務給我們的客戶。並深信透明和協作是維護安全的關鍵。為了持續改進我們的產品安全性,我們與全球的安全研究人員合作,共同發現和解決潛在的安全漏洞。通過這個程序,我們鼓勵研究人員向我們報告他們發現的漏洞,以幫助我們改進我們的產品和服務。
如果您是一位安全研究人員或對資訊安全有相關專業知識的專家,我們歡迎您參與我們的漏洞賞金計畫。您可以通過發現和報告潛在的漏洞來幫助我們提高產品的安全性。我們將非常重視您的貢獻,並予以適當的獎勵。
由於尋找安全漏洞可能構成犯罪,我們請您遵守以下規則:
漏洞處理
XREX 產品安全事件響應小組 (PSIRT) 對報告的 XREX 產品中的安全漏洞做出響應。 PSIRT 與安全社區成員和客戶合作,努力確保影響 XREX 產品的安全漏洞得到記錄,並以負責任的方式發布解決方案。 XREX 致力於快速解決影響我們客戶的安全漏洞,並就解決方案、影響、嚴重性和緩解措施提供明確的指導。
披露政策
一旦發現潛在的安全問題,請盡快通知我們,我們將盡一切努力快速解決問題。
在向公眾或第三方披露任何資訊之前,為我們提供合理的時間來解決問題。
真誠努力協助避免侵犯隱私、破壞數據以及我們的服務中斷或降級。 僅與您擁有的帳戶或在帳戶持有人的明確許可下進行交互。
提交潛在安全漏洞報告
在提交潛在漏洞報告時,請盡可能多地包含以下資訊,以幫助我們更好地了解所報告問題的性質和範圍,包括:
- 漏洞潛在的產品名稱和版本
- 重現問題的環境或系統資訊(例如產品型號、操作系統版本等)
- 漏洞的類型和/或類別(XSS、緩衝區溢出、RCE 等)
- 重現漏洞的步驟說明
- 概念驗證或利用代碼
- 漏洞的潛在影響
範圍
以下情況屬於 PSIRT 的範圍:
範圍內 | |
Web: Domain | exchange.xrex.io |
*.xrex.exchange | |
iOS: Apple Store | XREX Apple Store |
Android: Google Pay | XREX Google Play |
a. 符合資格的漏洞
我們認為重要的任何漏洞:
- SQL注入
- 跨站點腳本 (XSS)
- 跨站請求偽造 (CSRF)
- 身份驗證缺陷
- 遠程代碼執行
- 特權升級
- 代碼注入
b. 不符合資格的漏洞
通常以下類型的錯誤不符合賞金條件:
- 第三方託管站點(例如 xxxxx.desk.com)上的安全漏洞,除非它們會導致 XREX 託管站點上的漏洞
- 使用 XREX API 的第三方應用程序中的安全漏洞
- 拒絕服務 (DoS)
- 垃圾郵件
- 社會工程學
- 影響過時或未打補丁的瀏覽器的錯誤
註: 我們鼓勵您提交所有潛在問題,較低嚴重性的問題目前不在賞金範圍內。
賞金
我們將定期審視賞金金額,以提供並感謝爲我們付出貢獻的安全研究人員。
獎勵將根據上述錯誤賞金計劃的規則提供。 根據 XREX 的判斷,提交的質量、創造力或新穎性可能會在給定範圍內修改支出。
如果關於同一問題的多個報告,XREX 將獎勵最早提交的,無論問題是如何報告的。
CVSS標準將用於漏洞評級(CVSS3.1)
Min/Max | Critical (CVSS 9.0 – 10.0) | High (CVSS 7.0 – 8.9) | Medium (CVSS 4.0 – 6.9) | Low (CVSS 0.0 – 3.9) |
Minimum | $1,000 | $500 | $200 | $100 |
Maximum | $3,000 | $1,000 | $500 | $200 |
漏洞等級說明
嚴重性: | 描述: |
嚴重風險 | 指的是具有最高威脅級別的漏洞,可能導致系統的完全失效、資料的大規模洩露、未經授權訪問或控制、用戶資金的損失等重大後果。這樣的漏洞通常會對交易所的運營和用戶資金的安全性造成嚴重影響。 |
高風險 | 指的是較為嚴重但沒有致命影響的漏洞,可能導致資料洩漏、用戶的身份識別資訊被盜用、某些功能或系統的受限制等問題,這些漏洞可能會影響到用戶資金的安全,但較為局部和可控。 |
中風險 | 指的是可能存在的漏洞,其威脅程度相對較低。這些漏洞可能導致一些功能的失效、介面上的問題、非關鍵資訊的洩漏等,但通常不會對系統的安全性和用戶資金的安全造成重大影響。 |
低風險 | 指的是影響較小且威脅程度較低的漏洞。這些漏洞通常只對系統的細節或使用體驗造成輕微的影響,並不會對安全性或用戶資金的安全產生重大風險。 |
報告內容
嚴重風險、高風險、中風險問題應該在 Google 文件上寫一個錯誤報告,並用您的 Google 文件鏈接創建一個問題。
您需要解釋錯誤在哪裡、它影響了誰、如何重現它、它影響的參數,並提供概念驗證資訊。
以下是報告至少應包含的內容:
- 漏洞標題:這將是您報告的標題,應該描述發現的錯誤類型、發現位置以及總體影響。 例如,“Remote File Inclusion in Resume Upload Form allows remote code execution”比“RFI Injection found”更具描述性和幫助性。
- 受影響的組件:組件字段標識受您發現的錯誤影響的特定目標。
- 漏洞類型:SQLi、XSS、緩衝區溢出、RCE等。
- 易受攻擊的路徑:錯誤 URL 標識您在應用程序中發現錯誤的位置。
- 嚴重性:嚴重風險 / 高風險 / 中風險
- 描述:您的報告必須包含清晰且描述性的複制步驟,以便組織可以輕鬆複製和驗證您的發現。
- 重現步驟:重現漏洞的分步說明。
- 補救:建議一些補救措施。
如何向我們舉報
聯繫我們時,請提供您發現漏洞的實際網域。同時,請提供盡可能詳細的漏洞重現資訊,以加速我們的分析並頒發獎勵。
要舉報影響 XREX 產品的安全漏洞,請填寫 XREX 漏洞賞金計畫表單。 請盡可能地提供更多的資料,包括受影響的產品名稱和版本、漏洞的詳細描述以及有關已知利用的任何資訊。
請注意,我們將存儲和處理您的數據在分析過程中。如果您希望匿名處理您的報告,請在您的表單中註明。但請注意,在這種情況下,我們將無法為您的努力支付任何獎勵。