დახმარების ცენტრი
პლატფორმის მიმოხილვა
ოპტიმიზაცია და მომხმარებლის გამოცდილება

Bybit Georgia-ს Bug Bounty პროგრამა

logo
ბოლოს განახლდა 2025-11-10 15:06:18
გაზიარება

რა არის Bybit Georgia-ს Bug Bounty პროგრამის მეთოდოლოგია და როგორ შეგიძლიათ მონაწილეობის მიღება?

Bybit Georgia-ს Bug Bounty პროგრამა შექმნილია იმ პირების დასაჯილდოებლად, რომლებიც გამოავლენენ ხარვეზს Bybit Georgia-ს პლატფორმაზე. თუ შეამჩნევთ რაიმე პოტენციურ ხარვეზს ან შეცდომას, შეგიძლიათ პროგრამაში მონაწილეობის მიღება შემდეგი გზით:

 

ნაბიჯი 1: გააერთიანეთ ყველა თქვენი დასკვნა სუფთა და ორგანიზებულ ფორმატში. ხარვეზის GIF-ებისა ან ვიდეოჩანაწერების მიწოდება ყველაზე მეტად დაფასდება. 

 

ნაბიჯი 2: გაგზავნეთ თქვენ მიერ შედგენილი უსაფრთხოების განაცხადი და დასკვნები ამ ფორმის მეშვეობით და აირჩიეთ ვარიანტი “უსაფრთხოების ხარვეზზე განაცხადის გაგზავნა.

 

ვიდეოჩანაწერები, გთხოვთ, ატვირთოთ Google Drive-ზე და გამოგვიგზავნოთ გასაზიარებელი ბმული. დამატებითი ინფორმაციისთვის, თუ როგორ უნდა გააკეთოთ ეს, გთხოვთ გაეცნოთ შემდეგ გვერდს.

 

 

 

LazarusBounty და Bybit Georgia-ს Bug Bounty-ის პროგრამა ერთი და იგივეა?

არა, ეს არ არის ერთი და იგივე პროგრამა. LazarusBounty პროგრამა განკუთვნილია მათთვის, ვინც ეხმარება უკანონო თანხების იდენტიფიცირებასა და გაყინვას, ხოლო Bybit Georgia-ს Bug Bounty პროგრამა განკუთვნილია მათთვის, ვინც შეამჩნევს და წარადგენს განაცხადს Bybit Georgia-ზე არსებულ ხარვეზების შესახებ.

 

LazarusBounty პროგრამის შესახებ უფრო დეტალური ინფორმაციისთვის, გთხოვთ, გაეცნოთ ამ სტატიას.

 

 



 

 

პროგრამის წესები

  1. გთხოვთ, მოგვაწოდოთ დეტალური განაცხადი განმეორებადი ნაბიჯებით. თუ განაცხადი არ არის საკმარისად დეტალური არსებული პრობლემის შემოწმებისთვის, თქვენი განაცხადი არ იქნება დაჯილდოვებული.

  2. თითო განაცხადი უნდა ეხებოდეს მხოლოდ ერთ ხარვეზს. ეს არ ეხება იმ შემთხვევას, როდესაც გჭირდებათ არსებულ რამდენიმე ხარვეზზე ინფორმაციის გაერთიანება, რათა უკეთ წარადგინოთ პრობლემის გავლენა. 

  3. განაცხადი თუ მეორდება, ჯილდოს მიიღებს მხოლოდ პირველი განაცხადი (იმ პირობით, რომ მისი სრული რეპროდუცირება შესაძლებელია).

  4. ერთი ძირითადი პრობლემით გამოწვეული მრავალი ხარვეზი მხოლოდ ერთ ჯილდოს მიიღებს.

  5. სოციალური მანიპულაცია (მაგ. ფიშინგი, ვიშინგი, სმიშინგი) აკრძალულია.

  6. გთხოვთ, თავი შეიკავოთ კონფიდენციალურობის დარღვევისგან, მონაცემთა განადგურებისა და ჩვენი სერვისის შეფერხებისა ან გაუარესებისგან. იმოქმედეთ მხოლოდ თქვენი ანგარიშების მეშვეობით ან ანგარიშის მფლობელის მიერ გამოხატული ნებართვით.

  7. მოერიდეთ ავტომატური სკანირების ხელსაწყოების გამოყენებას, რადგან აღნიშნული საშუალებებით გამოვლენილი განცხადებები არ მიიღება.

  8. მოერიდეთ ნეგატიური ზემოქმედებსა ან შემაფერხებელ ქმედებებს, რამაც შეიძლება გავლენა მოახდინოს ჩვენი სერვისების ხელმისაწვდომობაზე (მაგ. DoS/DDoS).

  9. ტესტირების გეგმა

  • თუ გაინტერესებთ აქტივებთან დაკავშირებული ჩვენი ფუნქციების ტესტირება, მაგრამ არ გაქვთ საჭირო აქტივები ტესტირების ჩასატარებლად, შეგიძლიათ დაარეგისტრიროთ ანგარიშ და გამოიყენოთ ტესტური ტოკენები აქტივების პანელის გვერდზე. https://testnet.bybitgeorgia.ge. (*გთხოვთ, გაითვალისწინოთ, რომ ტესტნეტი იყენებს ტესტურ მონეტებს, რომლებსაც რეალური ფასი არ აქვთ. ჩვენი მომხმარებლების ოპტიმალური გამოცდილების უზრუნველსაყოფად, ჩვენ გადავწყვიტეთ არ დავაწესოთ მკაცრი 2FA შეზღუდვები. შესაბამისად, განაცხადები, რომლებიც ეხებიან ტესტნეტზე 2FA აუტენტიფიკაციის გვერდი ავლას არ მიიღება).

 

 

 

 

 

დეტალები ხარვეზის დონეებზე

რა ჯილდოს მიიღებთ იმ შემთხვევაში, თუ ხარვეზზე განაცხადი დამტკიცდა?

გთხოვთ, იხილოთ ქვემოთ მოცემული ცხრილი დაჯილდოებასთან დაკავშირებით, რომელიც თავის მხრივ დამოკიდებულია აღმოჩენილი ხარვეზის დონეზე.

 

დონე

ჯილდო

დაბალი

150-დან 600 აშშ დოლარამდე

საშუალო

600-დან 1500 აშშ დოლარამდე

მაღალი

1500-დან 5000 აშშ დოლარამდე

კრიტიკული

5000-დან 10000 აშშ დოლარამდე

 

 

 

როგორ განისაზღვრება შეცდომების/ხარვეზების სხვადასხვა დონე?

დამატებითი ინფორმაციისთვის გთხოვთ გაეცნოთ ქვემოთ მოცემულ სიას:

 

კრიტიკული ხარვეზი

კრიტიკული ხარვეზია ის, რომელიც ხდება ძირითად ბიზნეს სისტემაში (ძირითადი კონტროლის სისტემა, საველე კონტროლი, ბიზნესის განაწილების სისტემა ან სხვა კონტროლის ლოკუსი, რომელსაც შეუძლია მართოს სისტემების დიდი რაოდენობით). ხარვეზის არსებობამ შეიძლება გამოიწვიოს სერიოზული ზიანი, მოიპოვოს წვდომა ბიზნეს სისტემის კონტროლსა (ფაქტობრივი სიტუაციიდან გამომდინარე) ან ძირითადი სისტემის პერსონალის მართვაზე, და აკონტროლოს კიდეც ძირითადი სისტემა.

 

კრიტიკული ხარვეზის დონე მოიცავს, მაგრამ არ შემოიფარგლება:

  • მრავალი მოწყობილობა წვდომას იღებს შიდა ქსელზე

  • back-end-ის მთავარი ადმინისტრატორის ძირითადი წვდომის მოპოვება, კორპორაციის ძირითადი მონაცემების გასაჯაროება და სერიოზული ზიანის გამოწვევა

  • სმარტ კონტრაქტის გადაჭარბება და პირობითი კონკურენციის საფრთხის ქვეშ ყოფნა

 

 

მაღალი რისკის ხარვეზი

  • სისტემაში წვდომის მოპოვება (getshell, ბრძანების შესრულება და ა.შ.)

  • სისტემის SQL ინექცია (back-end-ზე საფრთხის გაზრდა, პაკეტის გაგზავნის პრიორიტეტიზაცია საჭიროების შესაბამისად)

  • სენსიტიურ ინფორმაციაზე არაავტორიზებული წვდომის მოპოვება, მათ შორის, მაგრამ არ შემოიფარგლება, სისტემის მართვაზე პირდაპირი წვდომის მოპოვება აუტენტიფიკაციის გარეშე, კიბერშეტევა back-end-ის პაროლებზე, შიდა ქსელში არსებული სენსიტიური ინფორმაციის SSRF-ის მოპოვება და ა.შ.

  • დოკუმენტის თვითნებური კითხვა

  • XXE-ის ხარვეზი, რომელსაც შეუძლია გამოიწვიოს ნებისმიერ ინფორმაციაზე წვდომა

  • არასანქცირებული ოპერაცია, რომელიც გვერდს უვლის ფულის ან გადახდის ლოგიკას (წარმატებით უნდა იყოს გამოყენებული)

  • სერიოზული ლოგიკური დიზაინის და პროცესის ხარვეზები. ეს მოიცავს, მაგრამ არ შემოიფარგლება, ნებისმიერი მომხმარებლის შესვლის ხარვეზს, ანგარიშის პაროლის შეცვლის დაუცველობას, ლოგიკურ ხარვეზს, რომელიც ეხება კორპორაციის ძირითად საქმიანობას და ა.შ., გარდა ვერიფიკაციის კოდზე განხორციელებული შეტევა.

  • სხვა ხარვეზი, რომელიც ფართო მასშტაბით გავლენას ახდენს მომხმარებლებზე. ეს მოიცავს, მაგრამ არ შემოიფარგლება, XSS, რომელსაც შეუძლია ავტომატურად გავრცელდეს მნიშვნელოვან გვერდებზე, და XSS, რომელსაც შეუძლია წვდომა მიიღოს ადმინისტრატორის აუტენტიფიკაციის ინფორმაციაზე და წარმატებით გამოიყენოს მას.

  • წყაროს კოდის გავრცელება

  • ნებართვის კონტროლის ხარვეზები სმარტ კონტრაქტში

 

 

საშუალო რისკის ხარვეზი

  • ხარვეზი, რომელსაც შეუძლია გავლენა მოახდინოს მომხმარებლებზე მასთან ინტერაქციის გზით, მათ შორის, მაგრამ არ შემოიფარგლება, XSS-ის შენახვა ზოგად გვერდებზე, CSRF, რომელიც ეხება ძირითად ბიზნესს და ა.შ.

  • ზოგადი არასანქცირებული ოპერაცია, მათ შორის, მაგრამ არ შემოიფარგლება, მომხმარებლის მონაცემების შეცვლითა და მომხმარებლის ოპერაციების შესრულებით, შეზღუდვების მიუხედავად.

  • მომსახურების უარყოფის ხარვეზები, მათ შორის, მაგრამ არ შემოიფარგლება, მომსახურების დისტანციური უარყოფა, რომელიც გამოწვეულია ვებ აპლიკაციების სერვისზე უარის თქმით

  • ხარვეზები, რომლებიც გამოწვეული იყო წარმატებული გატეხვის მცდელობით სისტემისთვის სენსიტიური ოპერაციების მეშვეობით, როგორიცაა ნებისმიერ ანგარიშზე შესვლა და პაროლზე წვდომა და ა.შ., ვერიფიკაციის კოდის ლოგიკური ხარვეზების გამო.

  • ადგილობრივად შენახული, სენსიტიური აუტენტიფიკაციის გასაღების ინფორმაციის გავრცელება, რომელიც ხელმისაწვდომი უნდა იყოს ეფექტური გამოყენებისთვის



დაბალი რისკის ხარვეზები

  • ლოკალური მომსახურების უარყოფის ხარვეზი, რომელიც მოიცავს, მაგრამ არ შემოიფარგლება, კლიენტის ლოკალურ მომსახურებაზე უარის თქმას (ფაილის ფორმატების გაანალიზება, ქსელის პროტოკოლებით წარმოქმნილი შეფერხებები), Android-ის კომპონენტზე წვდომის გატეხვით გამოწვეულ პრობლემებს, აპლიკაციაზე ზოგად წვდომას და ა.შ.

  • ზოგადი ინფორმაციის გასაჯაროება, რომელიც მოიცავს, მაგრამ არ შემოიფარგლება, ფაილებსა და ინფორმაციაზე წვდომის მოპოვება ვებ-ის და სისტემური გზების გვერდით აცილებით და ა.შ.

  • XSS (მათ შორის DOM XSS/ასახული XSS)

  • ზოგადი CSRF

  • URL-ის გამოტოვების ხარვეზი

  • SMS და ფოსტის შეტევები (თითოეული სისტემა იღებს ამ ხარვეზის მხოლოდ ერთ ტიპს).

  • სხვა ხარვეზი, რომლებიც ნაკლებად საზიანოა (და მათი დამტკიცება შეუძლებელია, მაგალითად, CORS ხარვეზი, რომელსაც არ აქ წვდომა სენსიტიურ ინფორმაციაზე) 

  • დაუბრუნებელი მნიშვნელობა და წარუმატებელი SSRF-ის სიღრმისეული გამოყენება

 





აკრძალული ქცევები

  • სოციალური მანიპულაცია და/ან ფიშინგში ჩართვა

  • ხარვეზის დეტალების გასაჯაროება 

  • ხარვეზის ტესტირება შემოიფარგლება PoC-ით (კონცეფციის მტკიცებულება) და დესტრუქციული ტესტირება მკაცრად აკრძალულია. თუ ტესტირების დროს შემთხვევით ხდება ზიანის მიყენება, ამაზე დროულად უნდა გვაცნობოთ. იმავდროულად, ტესტის დროს შესრულებული სენსიტიური ოპერაციები, როგორიცაა წაშლა, მოდიფიკაცია და სხვა ოპერაციები, უნდა იყოს ახსნილი განაცხადში.

  • სკანერის გამოყენება ფართომასშტაბიანი სკანირებისთვის. თუ ბიზნეს სისტემა ან ქსელი მიუწვდომელი გახდება, მაგას მოყვება შესაბამისი ქმედებები კანონების მიხედვით

  • ისინი, ვინც ამოწმებენ ხარვეზს, უნდა თავი შეიკავონ გვერდის უშუალოდ შეცვლისგან, შეტყობინებების ყუთის ხელახლა გახსნისგან (DNSLog რეკომენდირებულია xss გადამოწმებისთვის), ქუქი ფაილების მოპარვისა და/ან ისეთი ინფორმაციის შენახვისგან, როგორიცაა მომხმარებლის ინფორმაცია (ბრმა xss ტესტირებისთვის, გთხოვთ, გამოიყენოთ dnslog). თუ შემთხვევით შეინახეთ რაიმე სენსიტიური ინფორმაცია, გთხოვთ, დაუყოვნებლივ წაშალოთ იგი. წინააღმდეგ შემთხვევაში, ჩვენ გვაქვს უფლება დავაკისროთ შესაბამისი სამართლებრივი პასუხისმგებლობა.

 

 

 

 

 

ხარვეზებს არ ეხება

ხარვეზის შესახებ განაცხადის გაგზავნისას, გთხოვთ, გაითვალისწინოთ (1) თავდასხმის სცენარი/ექსპლუატაცია და (2) უსაფრთხოებაზე ხარვეზიზ გავლენა. შემდეგი საკითხები არ შედიან ხერვეზების სიაში:

  • ნებისმიერი აქტივობა, რომელმაც შეიძლება გამოიწვიოს ჩვენი სერვისის შეფერხება (DoS, DDoS).

  • ჩვენი თანამშრომლებისა ან კონტრაქტორების სოციალური მანიპულაცია, თუ ცალსახად არ არის ნებადართული.

  • თავდასხმები ჩვენს ფიზიკურ ობიექტებზე, გარდა იმ შემთხვევებისა, როდესაც არის ნებადართული.

  • შეტევები, რომლებიც მოითხოვს ფიზიკურ წვდომას მომხმარებლის მოწყობილობაზე, გარდა იმ შემთხვევისა, როდესაც მოწყობილობა შეესაბამება სისტემის მოთხოვნებს და სპეციალურად არის დაცული ფიზიკური წვდომისგან.

  • თავდასხმები, რომლებიც მოითხოვს Man In The Middle (MITM) დაცვის გამორთვას.

  • თავდასხმები, რომლებიც უკავშირდებიან მხოლოდ მოძველებულ ბრაუზერებსა ან ოპერაციულ სისტემებ.

  • საუკეთესო პრაქტიკის ნაკლებობა (SSL/TLS კონფიგურაცია, კონტენტის უსაფრთხოების პოლიტიკა, ქუქი ფაილების მონიშვნები, ფიშინგ შეტევა (tabnabbing), ავტომატური შევსების ატრიბუტი, ელ.ფოსტის SPF/DKIM/DMARC ჩანაწერები), გარდა იმ შემთხვევისა, როდესაც შესაძლებელია მნიშვნელოვანი ზემოქმედების დემონსტრირება.

  • Clickjacking ან Cross-Site Request Forgery (CSRF) არაათენტიფიცირებულ გვერდებზე/ფორმებზე სენსიტიური ქმედებების გარეშე.

  • ღია გადამისამართებები, გარდა იმ შემთხვევისა, როდესაც შესაძლებელია მნიშვნელოვანი ზემოქმედების დემონსტრირება.

  • თვითექსპლუატაცია (თვითXSS, თვითუარყოფა მომსახურებაზე და ა.შ.), გარდა იმ შემთხვევისა, როდესაც შესაძლებელია სხვა მომხმარებელზე თავდასხმის მეთოდის დემონსტრირება.

  • კონტენტის გაყალბება, ტექსტის და CSV-ის ინექცია, გარდა იმ შემთხვევისა, როდესაც შესაძლებელია მნიშვნელოვანი ზემოქმედების დემონსტრირება.

  • პროგრამული უზრუნველყოფის ვერსიის გასაჯაროება / ბანერის იდენტიფიკაციის პრობლემები / აღწერითი შეცდომის შეტყობინებები ან სისტემის დიაგნოსტიკის კვალი.

  • საკითხები, რომლებიც მოითხოვს მსხვერპლის მიერ მომხმარებლის ნაკლებად სავარაუდო ინტერაქციას.

  • ნებისმიერი შეტევა, რომელიც მოითხოვს მომხმარებლის ინტერაქციას კონტრაქტთან, რომელიც არის თავდამსხმლის მიერ კონტროლირებად ვებსაიტიდან

  • გამორიცხულია ქსელის სპეციფიკური ხარვეზები (მაგ. EVM ან Solana მუშაობის დროის პრობლემები)

  • ინტეგრირებული Dapp ხარვეზები გამორიცხულია (მაგ. Uniswap, Curve, GMX, 1inch)

 

 

 

 

 

გამჟღავნების პოლიტიკა

გთხოვთ, არ განიხილოთ ეს პროგრამა ან რაიმე ხარვეზი (თუნდაც მოგვარებული) პროგრამის გარეთ ორგანიზაციის მკაფიო თანხმობის გარეშე.

გამოგადგათ?
დაკავშირებული სტატიები
როგორ გავასუფთავოთ ქეში და ქუქი ფაილები სხვადასხვა ბრაუზერის გამოყენებით