概要
Coincallは、使いやすさと機能性の両方に優れた取引エコシステムを作成することに専念している、世界的に有名な仮想通貨デリバティブ取引プラットフォームです。革新的な技術と使いやすいデザインにより、金融専門家だけでなく、世界中の投資家にオプション取引や先物取引を提供し、仮想通貨市場の膨大な可能性を開放しています。Coincallでは、仮想通貨デリバティブ市場における世界のユーザーの金融自由と取引効率を向上させることを目指しています。
方針
Coincallでは、ユーザーの情報と資金のセキュリティを最優先事項としています。そのため、最も安全なプラットフォームを提供し、最も安全な取引環境を作成するよう努めています。Coincallの全てのビジネスシステムとユーザーに与える影響に基づいて、セキュリティの問題を評価しています。
このバウンティポリシーは、Coincallの脆弱性バウンティプログラムのルール、脆弱性の対象範囲、および報酬を概説しています。
報酬はCVSS(Common Vulnerability Scoring System)の深刻度レベルに基づいています。これらは一般的なガイドラインであり、最終的な報酬はCoincallが影響と悪用可能性に基づいて決定します。深刻度が低いが直接悪用可能な問題の報告の最低報酬は$100です。最大報酬は$3,000であり、深刻または創造的と見なされる脆弱性に対しては、より高額の報酬を提供する場合があります。
深刻度 | |報酬範囲 |
例 |
---|---|---|
Critical | $1,000 - $3,000 |
* ユーザーの資金や敏感な情報への不正アクセスを可能にし、大きな財務損失を引き起こしたり、通常の取引に影響を与えたりする脆弱性(実現可能、概念的ではない)。 |
High | $500 - $1,000 |
* コアビジネスオペレーションにおけるSQLインジェクション、リモートコード実行、コマンド実行、取引ビジネスロジックの脆弱性。 |
Medium | $200 - $500 |
* 一般的なビジネスオペレーションにおけるSQLインジェクションと取引ビジネスロジックの脆弱性。 |
Low | $100 |
* 反射型XSS、リクエストリダイレクションなど。 |
報酬はUSDTまたはCALLで支払われます
投稿が受け入れられた場合、報酬を受け取るためには、次のいずれかを提供してください。
- Coincallの登録アカウント情報(メールアドレス)
- あなたのTRC20ウォレットアドレス
研究者には、専用のプライベートCoincallアカウントを作成することをお勧めします。
- CALLの価格は仮想通貨市場の変動によって変動します。
注意:
1. 脆弱性の報告については、bug_bounty@coincall.com までお問い合わせください。
2. 特定の脆弱性を証明し、特定の脆弱性を悪用する方法を示す有効な証拠を提供する報告のみが報酬の対象となります。Coincallは報酬基準に適合する報告を最終的に決定する権利を留保します。
3. Coincallは、コミュニティと協力して、各研究者の貢献が公正に報酬されるようにします。ビジネスに重大な影響を与えるセキュリティ脆弱性に対しては、追加の報酬を提供します。
対象範囲
- .coincall.com
- Coincall iOSアプリ
- Coincall Androidアプリ
注意:
1. 記載されていないドメイン/資産は対象外です。ここに記載されていない特定の資産や活動が対象範囲に含まれるべきだと思う場合は、報告書を提出し、なぜそれを含めるべきだと考えるかを簡潔に説明してください。
2. 研究者は資金を移動しようとしてはいけません。証明のためにそのような試みが必要な場合は、まずCoincallに連絡し、承認を得る必要があります。事前承認なしに資金を移動しようとする研究者は報酬の対象外です。
3. 当社のビジネス/システムの1つで報告された問題が、同じ原因で他のビジネス/システムにも影響を与える場合、その問題は単一の問題として扱われます。同じバグを複数回報告しないでください。
興味がある脆弱性のいくつかの例
- ユーザーの資金/資産の遠隔損失につながる可能性がある脆弱性
- コアビジネスアプリケーションのサービス拒否(DDOSとCCを除く)
- 遠隔でのコード実行
- SQLインジェクション
- SSRF(サーバー側要求偽装)
- 任意のファイルの読み取り
- ビジネスロジックの脆弱性
- ...
適格でない問題(範囲外のため閉じられます):
- 実証可能な概念のない理論上の脆弱性
- セキュリティに影響しない問題(たとえば、ウェブページの読み込みができないなど)
- Coincallが所有していない資産
- 直接的に悪用できない脆弱性に関するベストセキュリティプラクティスの問題
- メールの検証の欠陥、パスワードリセットリンクの有効期限、およびパスワードの複雑さポリシー
- 無効または欠落しているSPF(送信者ポリシーフレームワーク)レコード(不完全または欠落しているSPF/DKIM/DMARC)
- 低リスクのクリックジャッキング/UIの変更
- メールまたはユーザーの列挙(たとえば、パスワードリセットを介したメール登録の識別)
- 低リスクの情報開示(たとえば、スタックトレース、パス開示、ディレクトリリスト、ログ)
- 既知の内部問題、重複した問題、または既に公開されている問題
- タブの盗用
- Self-XSS
- 旧バージョンのブラウザやプラットフォームに依存する脆弱性(Adobe Flashに依存するXSSなど)
- 実証可能な概念のないWebフォームの自動入力に関連する脆弱性
- クッキーのセキュリティフラグの欠落
- セキュリティで保護されていないSSL/TLS暗号スイートやプロトコルバージョンに関連する問題
- コンテンツスプーフィング
- キャッシュ制御関連の問題
- 内部IPアドレスやドメインの露出
- 直接的な悪用につながらないセキュリティヘッダーの欠落
- 非重要な機能に対するCSRF(たとえば、ログイン、ログアウト、重要でない機能の購読)
- root/jailbreakを必要とする脆弱性
- ユーザーのデバイスへの物理アクセスを必要とする脆弱性
- 通常の業務に影響を与える行動(たとえば、DoS/DDoS)
- 自動ツールやスキャンからの報告
- 無効/期限切れのページへのリンク
- Zendeskやその他のサードパーティプラットフォームに関連するリスク
- スパム
- ソーシャルエンジニアリング
- セッション管理に関連する低影響の問題
コメント
0件のコメント
サインインしてコメントを残してください。