F2Pool

F2Pool鱼池,2013年4月创立于北京,是全球领先、中国最早的比特币矿池;全球最大的综合性数字货币矿池。创始人神鱼、王纯,作为国内首批从事区块链行业的意见领袖,带领团队打造了中国第...

20.00 Ether

Highest

9 Item

Has been claimed

Range

1. 目前可测试的域名包括(*.f2pool.com)。
2. 目前可测试的客户端程序包括IOS和安卓平台的'F2Pool'客户端程序,以及所有通过F2Pool官方途径发布的客户端程序。
3. 注意:超出范围视为无效漏洞处理。

Rating
Serious Vulnerability

• 直接获取系统权限(服务器端权限、客户端权限)的漏洞。包括但不仅限于:命令注入、远程命令执行、上传获取 WebShell、SQL注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX缓冲区溢出)。
• 直接导致拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用系统、网络设备、服务器无法继续提供服务的漏洞。
• 直接获取系统权限(服务器端权限、客户端权限)的漏洞。包括但不仅限于:命令注入、远程命令执行、上传获取 WebShell、SQL注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX缓冲区溢出)。
• 直接导致拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用系统、网络设备、服务器无法继续提供服务的漏洞。
• 严重的逻辑设计缺陷。包括但不仅限于共识机制缺陷、验证可绕过等严重问题。
• 严重级别的信息泄漏。包括但不限于重要DB的SQL注入漏洞、包含配置信息等敏感信息的源代码压缩包泄漏、包含订单、用户信息的日志文件;
• 严重的登录及验证安全风险。
• 可对用户或官方造成严重经济损失的漏洞。

High Vulnerability

• 越权访问。包括但不仅限于绕过认证直接访问管理后台可操作、核心业务非授权访问、核心业务后台弱密码等。
• 能直接盗取关键业务等用户身份信息的漏洞。包括:重点页面的存储型安全漏洞评分标准XSS漏洞、普通系统的SQL注入漏洞。
• 高风险的逻辑设计缺陷。包括但不仅限于查看任意用户信息、修改相关状态等。
• 高风险的信息泄漏漏洞。包括但不限于普通源代码压缩包泄漏、配置信息泄露。

Mid Vulnerability

• 普通信息泄露。包括但不仅限于客户端明文密码存储。
• 需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS、JSON Hijacking、重要操作的 CSRF、普通业务的存储型XSS。

Low Vulnerability

• 轻微信息泄露。包括但不仅限于路径信息泄露、svn信息泄露、异常信息泄露。
• 部分对业务只能造成轻微影响的漏洞,包括但不仅限于部分反射型 XSS(包括反射型 DOM-XSS)、普通CSRF、URL跳转漏洞。

Precautions

• 同一漏洞最早提交者得奖励。
以下为无效漏洞:
• 非F2Pool业务漏洞。
• 不涉及安全问题的 bug。包括但不仅限于产品功能缺陷、页面乱码、样式混乱。
• 无法利用的漏洞。包括但不仅限于 Self-XSS。
• 不能重现的漏洞。包括但不仅限于经专员确认无法重现的漏洞。
• 纯属用户猜测的问题。
• 提交在其他漏洞披露平台已提交的漏洞不计奖励。
• 开放平台的第三方应用漏洞不计奖励。

最终解释权归F2Pool所有。

Reward Plan
Serious:6.00 - 20.00 Ether
High:3.00 - 6.00 Ether
Mid:0.20 - 3.00 Ether
Low:0.05 - 0.20 Ether