Hakkında
Coincall, basit kullanılabilirliği ve güçlü işlevselliği bir araya getirerek kripto türev ticaret platformlarında öncü olan bir küresel kripto para birimi platformudur. Yenilikçi teknolojimiz ve kullanıcı dostu tasarımımız ile finansal uzmanlara değil, dünya genelindeki yatırımcılara opsiyon ve vadeli işlem ticaretini erişilebilir hale getiriyoruz ve kripto para piyasasının büyük potansiyelini ortaya çıkarıyoruz. Coincall ile, kripto para türev piyasasında küresel kullanıcıların finansal özgürlüğünü ve ticaret verimliliğini artırmayı amaçlıyoruz.
Politika
Coincall'da, kullanıcılarımızın bilgilerinin ve fonlarının güvenliği önceliğimizdir. Bu nedenle, en güvenli platformu sağlamak ve en güvenli ticaret ortamını oluşturmak için çaba gösteriyoruz. Bildirilen güvenlik sorunlarını, hem kullanıcılarımızı hem de Coincall altındaki tüm iş sistemlerini etkileme derecesine göre değerlendiriyoruz.
Bu ödül politikası, Coincall Güvenlik Açığı Ödül Programı'nın kurallarını, güvenlik açıkları için uygunluk ve ödülleri, belirtir.
Ödüllerimiz, CVSS (Ortak Zayıflık Değerlendirme Sistemi) şiddet seviyelerine dayanmaktadır. Lütfen bu genel yönergelerin, ve son ödüllerin Coincall tarafından etki ve istismarına dayanarak belirlendiğini unutmayın. Daha düşük şiddetteki ancak potansiyel olarak doğrudan istismar edilebilir sorunlar için minimum ödeme $100'dür. Maksimum ödül $3,000'dir ve ciddi veya yaratıcı bulunan zayıflıklar için daha yüksek miktarlar sunabiliriz.
| Şiddet | Ödül Aralığı |
Örnekler |
|---|---|---|
| Critical | $1,000 - $3,000 | Kullanıcı fonlarına, hassas bilgilere yetkisiz erişim sağlayan, önemli mali kayıplara neden olan veya normal ticareti etkileyen zayıflıklar (uygulanabilir, kavramsal değil). |
| High | $500 - $1,000 | Temel iş operasyonlarında SQL enjeksiyonu, uzaktan kod yürütme, komut yürütme ve işlem iş mantığı zayıflıkları. |
| Medium | $200 - $500 | Genel iş operasyonlarında SQL enjeksiyonu ve işlem iş mantığı zayıflıkları. |
| Low | $100 | Yansıtılan XSS, istek yönlendirmesi vb. |
Ödüller, USDT veya CALL cinsinden ödenebilir.
Bir başvurunuz kabul edildiğinde, ödül almak için lütfen aşağıdakilerden birini sağlayın:
- Coincall'daki kayıtlı hesap bilgileriniz (e-posta)
- TRC20 cüzdan adresiniz
Araştırmacılara, özel bir Coincall hesabı oluşturmalarını öneririz.
- CALL fiyatı, kripto para piyasası dalgalanmalarıyla değişebilir.
Notlar:
1. Güvenlik açıklarını bildirmek için lütfen bize bug_bounty@coincall.com adresinden ulaşın.
2. Lütfen sadece belirli bir güvenlik açığının nasıl istismar edileceğini gösteren geçerli kanıt sağlayan raporlar ödül için uygun olacaktır. Coincall, hangi raporların ödül kriterlerini karşıladığına ilişkin nihai kararı verme hakkını saklı tutar.
3. Coincall, her araştırmacının katkısının adil bir şekilde ödüllendirildiğinden emin olmak için toplulukla işbirliği yapmayı dört gözle beklemektedir. İşimizi önemli ölçüde etkileyen güvenlik açıklarına ek ödüller sunacağız.
Kapsam
- .coincall.com
- Coincall iOS uygulaması
- Coincall Android uygulaması
Not: Burada listelenmeyen herhangi bir alan/varlık kapsam dışındadır. Burada belirtilmeyen ancak kapsamda olması gerektiğini düşündüğünüz belirli bir varlık veya etkinlik varsa, lütfen bir rapor gönderin ve neden kapsama alınması gerektiğini kısaca açıklayın.
Araştırmacılar herhangi bir fon hareketi yapmamalıdır. Kanıt olarak bu tür bir girişim gerekiyorsa, araştırmacılar önce Coincall ile iletişime geçmeli ve onay almalıdır. Önceki onaya rağmen fonları hareket ettirmeye çalışan araştırmacılar ödül için uygun değildir.
Bir işletme/sistemimizde bildirilen bir sorunun aynı nedenden dolayı diğer işletme/sistemleri de etkiliyorsa, sorun tek bir sorun olarak kabul edilir. Lütfen aynı hatayı birden fazla kez bildirmeyin.
İlgi duyduğumuz bazı güvenlik açıkları örnekleri:
- Kullanıcı fonlarının/varlıklarının uzaktan kaybına neden olabilecek güvenlik açıkları
- Ana iş uygulamasında hizmet reddi (DDOS ve CC hariç)
- Uzaktan kod yürütme
- SQL enjeksiyonu
- SSRF
- Keyfi dosya okuma
- İş mantığı zayıflıkları
- ...
Geçersiz sorunlar (kapsam dışı oldukları için kapatılacaklar):
- Uygulamalı kanıt olmadan teorik güvenlik açıkları
- Güvenliği etkilemeyen sorunlar (örneğin, bir web sayfasını yükleyememe)
- Coincall tarafından sahip olunmayan varlıklar
- Doğrudan sömürülebilir zayıflıklar olmayan en iyi güvenlik uygulamalarıyla ilgili sorunlar.
- E-posta doğrulama hataları, şifre sıfırlama bağlantısı süresi dolması ve şifre karmaşıklık politikaları
- Geçersiz veya eksik SPF (Gönderen Politikası Çerçevesi) kayıtları (eksik veya eksik SPF/DKIM/DMARC)
- Düşük riskli tıklatma sahtekarlığı/UI değişiklikleri
- E-posta veya kullanıcı sıralaması (örneğin, e-posta kaydını şifre sıfırlaması aracılığıyla belirleme)
- Düşük riskli bilgi ifşaları (örneğin, yığın izleri, yol ifşaları, dizin listeleri, kayıtlar)
- İçsel bilinen sorunlar, yinelenen sorunlar veya zaten kamuya açık sorunlar
- Sekme yakalama
- Kendi XSS
- Güncellenmemiş tarayıcılar veya platformlara bağlı güvenlik açıkları (örneğin, Adobe Flash'a dayanan XSS)
- Pratik kanıt olmadan otomatik olarak doldurulan web formlarına ilişkin güvenlik açıkları
- Çerezlerdeki güvenlik bayraklarının eksikliği
- Güvenli olmayan SSL/TLS şifreleme süitleri veya protokol sürümleri ile ilgili sorunlar
- İç IP adreslerinin veya alanlarının ifşası
- Doğrudan istismara yol açmayan eksik güvenlik başlıkları
- Kritik olmayan işlevlerde CSRF (örneğin, giriş, çıkış, kritik olmayan özelliklere abonelik)
- Kök/jailbreak gerektiren güvenlik açıkları
- Kullanıcı cihazlarına fiziksel erişim gerektiren güvenlik açıkları
- Normal işletme faaliyetlerini etkileyen davranışlar (örneğin, DoS/DDoS)
- Otomatik araçlardan veya taramalardan gelen raporlar
- Geçersiz/süresi dolmuş sayfalara yönlendirmeler
- Zendesk ve diğer üçüncü taraf platformlarla ilişkilendirilen riskler
- Spam
- Sosyal mühendislik
- Oturum yönetimi ile ilgili düşük etkili sorunlar
Yorumlar
0 yorum
Yorum yazmak için lütfen oturum açın: oturum aç.