尊敬的XT.COM用戶:
為了提供更加安全可靠的加密貨幣交易服務,XT.COM啟動了漏洞賞金計劃,我們意識到即使最完善的系統也可能存在漏洞,所以希望通過懸賞的方式鼓勵黑客檢測並報告平台的安全問題,以便我們能夠快速解決這些問題,防止任何惡意攻擊。
我們的漏洞賞金計劃對任何發現我們軟件產品漏洞的人開放。我們將提供一定金額的獎金作為對符合條件的漏洞報告的獎勵,獎金金額將取決於問題的嚴重程度和報告的質量,$50 - $2,000美元不等。
漏洞等級及賞金:
| 漏洞等級 | 獎金範圍 |
| 嚴重 | $2,000 - $4,000 |
| 高級 | $1000 - $2000 |
| 中級 | $400 - $1000 |
| 低級 | $50 - $300 |
檢測範圍:
| 目標 | 類型 |
| https://www.xt.com | Web |
| https://doc.xt.com | API |
| https://apps.apple.com/app/apple-store/id1556596708 | iOS |
| https://play.google.com/store/apps/details?id=com.app.xt | Android |
我們將會對發現以下範圍漏洞的黑客進行獎賞(Web、移動端):
- 業務邏輯問題
- 支付操縱
- 遠程代碼執行(RCE)
- 注入漏洞(SQL、XXE)
- 文件包含(本地和遠程)
- 訪問控制問題(IDOR、特權升級等)
- 敏感信息洩露
- 服務器端請求偽造(SSRF)
- 跨站請求偽造(CSRF)
- 跨站腳本攻擊(XSS)
- 目錄遍歷
- 其他具有明顯潛在損失的漏洞
以下漏洞不在懸賞範圍內:
在以下範圍內發現的漏洞,除非它們對業務構成嚴重威脅(由我們自行決定),否則不太可能獲得獎勵:
一、WEB端
- 第三方應用程序的漏洞
- 不屬於公司的資產
- 最佳實踐問題
- 最近(少於30天)披露的0day漏洞
- 影響過時的瀏覽器或平台用戶的漏洞
- 社會工程、網絡釣魚、物理或其他欺詐活動
- 公開的登錄面板,沒有利用的證據
- 在沒有概念證明的情況下說明軟件已經過時/存在漏洞的報告
- 由掃描器或任何自動或主動利用工具產生的報告
- 涉及活動內容的漏洞,如網絡瀏覽器附加組件
- 大多數沒有明確影響的暴力攻擊問題
- 拒絕服務(DoS/DDoS)。
- 理論上的問題
- 中度敏感的信息披露
- 垃圾郵件(短信、電子郵件等)
- 缺少HTTP安全標頭
- 基礎設施漏洞,包括:
(1)證書/TLS/SSL相關問題
(2)DNS問題(即MX記錄、SPF記錄、DMARC記錄等)
(3)服務器配置問題(即開放端口、TLS等)
(4)開放式重定向
(5)會話修復
(6)用戶賬戶列舉
(7)點擊劫持/竊聽以及只能通過點擊劫持/竊聽來利用的問題
(8)描述性錯誤信息(如堆棧跟踪,應用程序或服務器錯誤)
(9)不能用於剝削其他用戶的自我XSS
(10)登錄和註銷CSRF
(11)弱的驗證碼/驗證碼繞過
(12)缺少安全和HTTPOnly cookie標誌
(13)通過登錄/忘記密碼頁面錯誤信息進行用戶名/電子郵件枚舉
(14)匿名用戶可以使用的表格中的CSRF(例如聯繫表格)
(15)啟用OPTIONS/TRACE HTTP方法
(16)沒有展示漏洞的概念證明的主機標頭問題
(17)內容欺騙和文本注入問題,沒有顯示攻擊媒介/無法修改HTML/CSS的問題
(18)沒有嵌入鏈接/HTML的內容欺騙
(19)反映的文件下載(RFD)
(20)混合HTTP內容
(21)HTTPS混合內容腳本
(22)使用密碼重置令牌的操縱行為
(23)MitM和本地攻擊
二、移動端
- 需要對用戶的設備進行物理訪問的攻擊
- 需要root/jailbreak的漏洞
- 需要大量用戶互動的漏洞
- 設備上的非敏感數據的暴露
- 沒有PoC的二進制靜態分析報告,影響業務邏輯
- 缺少混淆/二進制保護/root(越獄)檢測
- 繞過root設備上的證書釘子
- 缺少漏洞緩解措施,如PIE、ARC或Stack anaries
- 受TLS保護的URL/請求體中的敏感數據
- 二進製文件中的路徑披露
- 在IPA、APK中硬編碼/可恢復的OAuth和應用秘密
- 敏感信息作為明文保留在設備的內存中
- 由於畸形的URL方案或發送到導出的活動/服務/廣播接收器的意圖而導致的崩潰(利用這些敏感數據的洩漏通常是在範圍內)
- 任何類型的敏感數據存儲在應用程序的私人目錄中
- 使用Frida/Appmon等工具的運行時黑客攻擊(只有在越獄的環境下才有可能利用)
- 通過系統剪貼板洩露的共享鏈接
- 任何URI的洩露,因為惡意的應用程序有權限查看打開的URI。
- 沒有安全影響的API密鑰的暴露(谷歌地圖API密鑰等)。
漏洞賞金計劃規則
- 避免使用網絡應用程序掃描器進行自動漏洞搜索,以避免產生大量流量
- 努力不要損壞或限制產品、服務或基礎設施的可用性
- 避免危害任何個人數據,不中斷或降低任何服務的質量
- 不要訪問或修改其他用戶數據,將所有測試局限於自己的帳戶
- 僅在範圍內執行測試
- 不要利用任何 DoS/DDoS 漏洞、社交工程攻擊或垃圾郵件
- 不要使用自動掃描儀垃圾郵件表單或賬戶創建流程
- 如果發現連鎖漏洞,我們只會支付最高嚴重性的漏洞。
- 不要違法行為,保持在定義的範圍內
- 未經適當許可,不得向任何不是XT.COM 團隊或該公司授權員工的人員通報發現的漏洞的任何細節。
信息披露準則
- 未經組織明確同意,不要在計劃外部討論該計劃或任何漏洞(即使是已解決的漏洞)。
- 暫不允許進行漏洞披露,包括部分披露。
- 請不要發布/討論漏洞。
資格和協調披露
我們很高興感謝所有提交有效報告的人,這有助於我們提高安全性。但是,只有滿足以下資格要求的人才能獲得賞金獎勵:
- 您必須是漏洞的首次報告者。
- 漏洞必須是符合資格的漏洞。
- 發現的任何漏洞必須在發現後不遲於24小時內通過 https://hackenproof.com/xt/xt 進行報告,並且僅限於此渠道。
- 您必鬚髮送一個清晰的文本描述報告,包括詳細的複現步驟,包括必要的附件,如屏幕截圖或概念驗證代碼。
- 您不得是我們或其承包商的前任或現任員工。
- 提供詳細但簡明的複現步驟。
我們非常重視安全,並感謝您為改進我們產品的安全性所做的任何努力。
感謝您對XT.COM的支持與信任!
XT.COM團隊
2023年04月25日
【APP下載】https://www.xt.com/app
【現貨交易】 https://www.xt.com/tradePro/btc_usdt
【杠桿交易】 https://www.xt.com/margin/btc_usdt
【合約交易】https://futures.xt.com/contract/u_based/btc_usdt
【ETF交易】https://www.xt.com/etf/btc3l_usdt
【電報群】 https://t.me/XT_TCHN
【Twitter】 https://twitter.com/XTexchange
【Facebook】 https://www.facebook.com/XT.comexchange/
XT.COM將保留隨時全權酌情因任何理由修改、變更或取消此公告的權利。