BCSEC

BCSEC专注聚焦区块链安全生态,提供区块链行业领先的安全解决方案。我们关注和研究最前沿的漏洞以及相关安全情报资讯,目前已对数字钱包、交易所、矿池、智能合约等多个应用场景有深厚研究积累...

20.00 Ether

Highest

0 Item

Has been claimed

Range

1. 目前可测试的域名仅有*.bcsec.org
2. 超出范围 注意:超出范围视为无效漏洞处理.

Rating
Serious Vulnerability

• 直接导致拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用系统、网络设备、服务器无法继续提供服务的漏洞。
• 直接获取系统权限(服务器端权限、客户端权限)的漏洞。包括但不仅限于:命令注入、远程命令执行、上传获取 WebShell、SQL注入获取系统权限。
• 严重级别的信息泄漏。包括但不限于重要DB的SQL注入漏洞、包含配置信息等敏感信息的源代码压缩包泄漏、包含订单、用户信息的日志文件;
• 可对用户或官方造成严重经济损失的漏洞。

High Vulnerability

• 越权访问。包括但不仅限于绕过认证直接访问管理后台可操作、核心业务非授权访问、核心业务后台弱密码等。
• 能直接盗取关键业务等用户身份信息的漏洞。包括:重点页面的存储型安全漏洞评分标准XSS漏洞、普通系统的SQL注入漏洞。
• 高风险的逻辑设计缺陷。包括但不仅限于查看任意用户敏感信息、修改相关敏感状态等。
• 高风险的信息泄漏漏洞。包括但不限于源代码压缩包泄漏、配置信息泄露;

Mid Vulnerability

• 少量的敏感信息泄露,包括但不限于SSRF内网信息泄露、用户部分信息泄露等;
• 仅影响自己账户的设计缺陷/逻辑漏洞;
• 需要交互、爆破等手段盗用其他用户身份凭证的漏洞,包括但不限于非常用页面存储型XSS、后台不可见XSS;
• 具有一定条件的拒绝服务漏洞;

Low Vulnerability

• 非敏感信息泄露,包括但不限于目录遍历等;
• URL跳转漏洞;
• 短信接口滥用等问题;
• 交互要求较高的盗用身份凭证的漏洞,包括但不限于反射型XSS、普通CSRF等;
• 其他未证明实际危害但理论存在的隐患;

Precautions

• 漏洞奖励标准仅针对BCSEC的业务。目前DVP的域名仅有*.bcsec.org
• 提交在其他漏洞披露平台已提交的漏洞不计奖励。
• 平台的第三方应用漏洞奖励降级;
• 同一漏洞最早提交者得奖励。

Reward Plan
Serious:2.00 - 20.00 Ether
High:1.00 - 2.00 Ether
Mid:0.20 - 1.00 Ether
Low:0.05 - 0.20 Ether