安全赏金计划

没有技术是完美的。Cryptohopper致力于让交易员可以省心管理投资组合,而不必操心数据分析和交易操作。如果您发现潜在的安全问题,欢迎您报告给我们。我们将在核实后,对提供切实信息的用户进行奖励。

符合要求的问题

您可以报告我们系统中任意数量的漏洞。但不要重复相同的漏洞。如果您发现以下类别的漏洞,请尽快联系我们


以下域名和应用程序有资格获得本计划的奖励

  • SQL注入漏洞
  • 加密漏洞
  • 远程代码执行
  • 绕过认证,未经授权的数据访问
  • XML外部实体
  • S3存储库上传
  • 服务器端请求伪装

以下域名和应用程序有资格获得本计划的奖励:

  • www.cryptohopper.com
  • api.cryptohopper.com
  • 苹果商店的iOS应用程序:cryptohopper-crypto-trading/id1463052050
  • Google Play商店的安卓应用程序:com.cryptohopper_mobile

不符合要求的问题

我们不接受以下类别的投稿:

  • 能够不受任何限制地创建用户账户
  • 能够在没有确定安全风险的情况下执行通过用户界面无法获得的行动
  • 能够在没有任何限制的情况下发送电子邮件,对内容不加控制
  • 任何可能导致我们服务中断的活动(DoS)。
  • 需要对用户设备进行MiTM或物理访问的攻击
  • Clickjacking
  • 内容欺骗和文本注入
  • 在不显示漏洞的情况下进行CSV注入
  • 泄露非敏感信息,如产品版本、服务器上的文件路径、堆栈跟踪等
  • 披露来源和私人IP地址或指向私人IP地址的域的信息
  • 敏感令牌(如密码重置令牌)在安全连接(HTTPS)上泄露给受信任的第三方
  • 缺少SSL/TLS配置中的最佳实践
  • 缺少DNS配置的最佳实践(DKIM/DMARC/SPF/TXT)。
  • 错过了HTTP头的最佳实践,但并未表现出漏洞
  • 缺少关于重要行动的通知
  • 缺少保护机制或最佳实践,也无法证明对用户或系统的实际安全影响
  • 以前已知的易受攻击的图书馆,没有一个工作的概念证明
  • 只包含崩溃转储或自动工具输出,而没有有效概念验证的报告
  • 未经认证的/登录/注销CSRF
  • 用户枚举
  • 需要未修补环境的向量(例如,Windows未更新过)
  • 需要提交报告前6个月或更长时间发布的浏览器版本的病毒
  • 缺少对端点的速率限制
  • 跨站请求伪造(CSRF)

如何报告漏洞

您可以通过电子邮件向我们报告漏洞,[email protected]

在您的电子邮件中简明扼要地说明您发现了什么漏洞。特别是在您的电子邮件中包括以下内容:

  • 哪些漏洞
  • 您所采取的步骤
  • 完整URL
  • 对象(作为过滤器或输入字段)涉及
  • 我们非常欢迎您提供截图和屏幕视频
  • 在错误报告中提供您的IP地址,该地址将被保密,用于跟踪您的测试活动,并从我们这边审查日志。
  • 尽可能明确和详细地描述发现的问题,并提供您可能拥有的任何证据。您可以假设专业人士会收到该通知

规则

承担责任,并以极其谨慎和小心的态度行事。在调查此事时,只使用发现或证明漏洞所需的方法或技术

  • 做一个有道德的黑客,尊重其他用户的隐私
  • 不要将您发现的漏洞用于您自己调查以外的目的
  • 在向公众或第三方披露之前,不要向其他各方披露漏洞,为我们提供合理的时间来解决这个问题。
  • 不要使用社会工程来获得对系统的访问权
  • 不要安装任何后门 - 即使是为了证明系统的脆弱性。后门将损害系统的安全
  • 不要修改或删除系统中的任何信息。如果您需要为您的调查复制信息,千万不要复制超过您需要的信息。如果一条记录就足够了,就不要再继续了。
  • 不要以任何方式改变系统
  • 只有在必须的情况下才能渗透到一个系统中。如果您成功渗透到一个系统中,不要把访问权限分享给其他人。
  • 请勿通过重复输入密码等粗暴手段来获取系统访问权限。
  • 尽可能严密地保护您自己的系统

奖励

我们的奖励是灵活的,没有最低/最高金额限制;奖励是基于严重程度、影响和报告质量。要获得奖励,您必须居住在一个不在制裁名单上的国家(如古巴、伊朗、朝鲜、苏丹和叙利亚)。这是一个自由裁量的计划,Cryptohopper保留取消该计划的权利;是否支付奖励的决定由我们决定。

其他考量因素:

  • 当出现重复时,我们只奖励我们收到的第一份报告
  • 由一个基本问题引起的多个漏洞将被授予一个赏金
  • 我们的工程师必须能够从您的报告中重现安全漏洞。太含糊或不清楚的报告没有资格获得奖励。包括清晰的书面解释和工作代码的报告更有可能获得奖励。
常见问题
常见问题
Cryptohopper高度赞赏您在协助我们保护系统和流程方面的努力。根据影响的大小,我们将决定奖励的方式。奖励不一定是金钱,也可以是Cryptohopper订阅的形式。
在没有询问我们之前,千万不要公开我们的IT系统或您的调查中的漏洞。我们可以一起努力,防止犯罪分子滥用您的信息。请向我们的安全专家咨询,并给我们时间来解决问题
可以。当您报告一个漏洞时,您不必向我们提供您的姓名和联系信息。但是,请认识到,我们将无法就后续措施与您联系,例如,我们对您的报告采取什么措施,进一步合作,或发送奖励。
请使用安全赏金计划文档中提供的PGP密钥将安全问题发送到[email protected]

免责声明:Cryptohopper并非受监管机构。加密货币的机器人交易存在大量风险,过去的业绩表现并不能预示未来的结果。产品截图中展示的利润仅供参考,可能有所夸大。只有在您具备充足的知识或寻求了专业财务顾问的指导后,才应进行机器人交易。在任何情况下,Cryptohopper均不对任何人或实体因使用我们的软件进行交易而产生的全部或部分损失或损害,或任何直接、间接、特殊、后果性或附带的损害承担责任。请注意,Cryptohopper社交交易平台上的内容由Cryptohopper社区成员生成,并不代表Cryptohopper或其代表的建议或推荐。市场上展示的利润并不能预示未来的结果。使用Cryptohopper的服务即表示您承认并接受加密货币交易的固有风险,并同意免除Cryptohopper因您的任何责任或损失的责任。在使用我们的软件或进行任何交易活动之前,务必审阅并理解我们的服务条款和风险披露政策。请根据您的具体情况咨询法律和金融专业人士,获取个性化的建议。

©2017 - 2023 版权归属于Cryptohopper™ -版权所有。