everiToken

everiToken是一条以通证经济为中心的公链,要让现实世界里的资产、证书、凭证、活动门票、优惠券等权益证明,通过发行通证的方式数字化,最终构建为一个通证发行、流转的系统

22.00 Ether

Highest

0 Item

Has been claimed

Range

1.目前everiToken的域名包括但不限于(*.everitoken.io),everiToken客户端包括所有通过官方途径发布的客户端程序
2. 超出范围
注意:超出范围视为无效漏洞处理.

Rating
Serious Vulnerability

• 直接获取系统权限(服务器端权限、客户端权限)的漏洞。包括但不仅限于:命令注入、远程命令执行、上传获取 WebShell、SQL注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX缓冲区溢出)。
• 直接导致拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用系统、网络设备、服务器无法继续提供服务的漏洞。
• 直接获取系统权限(服务器端权限、客户端权限)的漏洞。包括但不仅限于:命令注入、远程命令执行、上传获取 WebShell、SQL注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX缓冲区溢出)。
• 直接导致拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用系统、网络设备、服务器无法继续提供服务的漏洞。
• 严重的逻辑设计缺陷。包括但不仅限于共识机制缺陷、验证可绕过等严重问题。
• 严重级别的信息泄漏。包括但不限于重要DB的SQL注入漏洞、包含配置信息等敏感信息的源代码压缩包泄漏、包含订单、用户信息的日志文件;
• 严重的登录及验证安全风险。
• 可对用户或官方造成严重经济损失的漏洞。

High Vulnerability

• 越权访问。包括但不仅限于绕过认证直接访问管理后台可操作、核心业务非授权访问、核心业务后台弱密码等。
• 能直接盗取关键业务等用户身份信息的漏洞。包括:重点页面的存储型安全漏洞评分标准XSS漏洞、普通系统的SQL注入漏洞。
• 高风险的逻辑设计缺陷。包括但不仅限于查看任意用户信息、修改相关状态等。
• 高风险的信息泄漏漏洞。包括但不限于普通源代码压缩包泄漏、配置信息泄露;

Mid Vulnerability

• 普通信息泄露。包括但不仅限于客户端明文密码存储。
• 需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS、JSON Hijacking、重要操作的 CSRF、普通业务的存储型XSS。

Low Vulnerability

• 轻微信息泄露。包括但不仅限于路径信息泄露、svn信息泄露、phpinfo、异常信息泄露。
• 部分对业务只能造成轻微影响的漏洞,包括但不仅限于部分反射型 XSS(包括反射型 DOM-XSS)、普通CSRF、URL跳转漏洞。

Precautions

漏洞奖励标准仅针对everiToken的业务。目前everiToken的域名包括但不限于(*.everitoken.io)
• 客户端包括所有通过官方途径发布的客户端程序;
• 提交在其他漏洞披露平台已提交的漏洞不计奖励。
• 开放平台的第三方应用漏洞不计奖励;
• 同一漏洞最早提交者得奖励。
• 同一漏洞导致的多个利用点按照级别最高的奖励执行如:同一个 JS引起的多个 XSS、漏洞、同一个发布系统引起的多个页面的 XSS漏洞、框架导致的整站 XSS/CSRF漏洞、泛域名解析产生的多个 XSS漏洞等等。
• 以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计奖励,同时xx保留采取进一步法律行动的权利。
• 移动终端系统导致的通用型漏洞,仅给首个漏洞报告者计奖励,其它产品同个漏洞均不再另外计奖励。

Reward Plan
Serious:6.00 - 22.00 Ether
High:3.00 - 6.00 Ether
Mid:0.20 - 3.00 Ether
Low:0.05 - 0.20 Ether