正文
HBTC - 全球领先的顶级技术驱动加密资产交易平台
业务范围
HBTC App,获取地址:https://www.hbtc.com/activity/app_download/
HBTC 相关 Web 平台:
- *.hbtc.com
- *.bluehelix.network
- *.bluehelix.cloud
HBTC 邮箱、服务器:
HBTC 智能合约地址:
- BHT 0xfc29b6e626b67776675fff55d5bc0452d042f434
处理流程
报告阶段
报告者访问「慢雾区」网站,进入「赏金漏洞提交」页面(URL:https://slowmist.io/bug-bounty.html)提交威胁情报(状态:待审核)
处理阶段
1. 一个工作日内,慢雾安全团队会确认「慢雾区」收到的威胁情报报告并跟进开始评估问题,
同时将情报反馈给 HBTC 对接人(状态:审核中)
2. 三个工作日内,HBTC 技术团队处理问题、给出结论并计分(状态:已确认/已忽略)。必要时会与报告者沟通确认,请报告者予以协助
修复阶段
1. HBTC 业务部门修复威胁情报中反馈的安全问题并安排更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高危问题 24
小时内,中危问题三个工作日内,低危问题七个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定
2. 报告者复查安全问题是否修复(状态:已复查/复查异议)
3. 报告者确认安全问题已修复后,HBTC 技术团队告知慢雾安全团队处理结论和漏洞得分,并与慢雾安全团队一起发放奖励(状态:已结束)
漏洞评级及奖励标准
| 等级 |
HBTC 奖励* |
慢雾区奖励 |
| 严重 |
$2500 ~ $10000 等值HBC |
512 慢雾区积分 |
| 高危 |
$300 ~ $2500 等值HBC |
256 慢雾区积分 |
| 中危 |
$100 ~ $300 等值HBC |
100 慢雾区积分 |
| 低危 |
$10 ~ $100 等值HBC |
32 慢雾区积分 |
*注:HBC 是 HBTC 平台币,币价请参考 https://www.hbtc.com/exchange/HBC/USDT。请先在 hbtc.com 注册一个账号,提交漏洞时把 uid 贴出来。
*备注:最终发放的奖励取决于漏洞严重程度和漏洞真实影响。
严重漏洞
严重的漏洞是指,发生在核心系统业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统),可造成大面积影响的,获取大量(依据实际情况酌情限定)业务系统控制权限,获取核心系统管理人员权限并且可控制核心系统。
包括但不限于:
- 内网多台机器控制
- 核心后台超级管理员权限获取且造成大范围企业核心数据泄露,可造成巨大影响
- 智能合约溢出、条件竞争漏洞
高危漏洞
- 系统的权限获得(getshell、命令执行等)
- 系统的 SQL 注入(后台漏洞降级,打包提交酌情提升)
- 敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的 SSRF 等)
- 任意⽂件读取
- 可获取任意信息的 XXE 漏洞
- 涉及金钱的越权操作、支付逻辑绕过(需最终利用成功)
- 严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意用户登录漏洞、批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等,验证码爆破除外
- 大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等
- 大量源代码泄露
- 智能合约权限控制缺陷
中危漏洞
- 需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS,涉及核心业务的 CSRF 等
- 普通越权操作。包括但不限于绕过限制修改用户资料、执行用户操作等
- 拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等
- 由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作可被爆破成功造成的漏洞
- 本地保存的敏感认证密钥信息泄露,需能做出有效利用
低危漏洞
- 本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等
- 普通信息泄露。包括但不限于 Web 路径遍历、系统路径遍历、目录浏览等
- 反射型 XSS(包括 DOM XSS / Flash XSS)
- 普通 CSRF
- URL 跳转漏洞
- 短信炸弹、邮件炸弹(每个系统只收一个此类型漏洞)
- 其他危害较低、不能证明危害的漏洞(如无法获取到敏感信息的 CORS 漏洞)
- 无回显的且没有深入利用成功的 SSRF
暂不收取的漏洞类型(提交此类漏洞,厂商将忽略)
- 邮件伪造漏洞
- 接口穷举爆破已注册用户名类漏洞
- Self-XSS & HTML注入
- 网页缺少 CSP、SRI 安全策略
- 非敏感操作的 CSRF 问题
- 单独的安卓 APP android:allowBackup=”true” 问题,本地拒绝服务问题等(深入利用的除外)
- 修改图片 size 造成的请求缓慢等问题
- Nginx 或其他中间件版本泄露的问题
- 一些功能 BUG,无法造成安全风险的问题
- 针对 HBTC 的物理攻击/针对 HBTC 员工的社会工程学攻击
禁止行为
- 禁止对人员社工、钓鱼行为;
- 漏洞禁止对外传播行为;
- 测试漏洞仅限证明性测试,严禁破坏性测试,若无意中造成危害,应及时报告,同时测试中进行的敏感操作,例如删除,修改等操作,请在报告中说明;
- 禁止使用扫描器进行大规模扫描,造成业务系统或网络不可用则按相关法律处理;
- 测试漏洞的应尽量避免直接修改页面、重复弹框(xss 验证建议使用 log)、盗取 cookie、获取其他用户信息等攻击性较强的 payload(如果是测试盲打,请使用 dnslog);如不慎使用了攻击性较强的 payload,请及时删除,否则我们有权追究相关法律责任。
此处参考了先知漏洞定级标准,在此表示感谢。
