ontology

本体是一个高度整合的分布式信任生态,积极鼓励信任合作。各种场景和合规要求的项目,无论形式、规模或技术,都可以通过本体的链网体系受益于并加入其分布式信任生态。

22.00 Ether

Highest

4 Item

Has been claimed

Range

1. Ontology Blockchain(GitHub 地址:https://github.com/ontio)
a) General Security
i. General design or implementation flaws
b) Network Security
i. Message serialization/deserialization security
ii. network connection management security
iii. message buffer management security
c) Protocol Security
Conceptual or implementation security issues in the following Ontology protocols:
i. VBFT Consensus Protocol Security
ii. Block Propagation Protocol Security
iii. Transaction Propagation Protocol Security
iv. P2P Communication Protocol Security
v. NVM Smart Contract Virtual Machine Security
d) Cryptographic Primitives Security
Incorrect implementation or usage of the following cryptographic algorithms:
i. ECDSA
ii. SM2
iii. SM3
iv. SM4
v. AES
vi. VRF
e) Smart Contract Virtual Machine Security
i. NVM implementation flaws
ii. Transaction execution
iii. Ledger Access Control
iv. Transaction result notification security
f) System Smart Contract Security
i. ONT management system contract security
ii. ONG management system contract security
iii. ONTID management system contract security
iv. Governance system contract security
v. Authentication system contract security
2. Ontology Client App
a) ONTO App(https://onto.app)
b) OWallet(https://github.com/ontio/OWallet/releases)

Rating
Serious Vulnerability

严重的漏洞是指,发生在核心系统业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统),可造成大面积影响的,获取大量(依据实际情况酌情限定)业务系统控制权限,获取核心系统管理人员权限并且可控制核心系统。
包括但不限于:
• 内网多台机器控制
• 核心后台超级管理员权限获取且造成大范围企业核心数据泄露,可造成巨大影响
• 智能合约溢出、条件竞争漏洞

High Vulnerability

•系统的权限获得(getshell、命令执行等)
•系统的 SQL 注入(后台漏洞降级,打包提交酌情提升)
•敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的 SSRF 等)
•任意⽂件读取
•可获取任意信息的 XXE 漏洞
•涉及金钱的越权操作、支付逻辑绕过(需最终利用成功)
•严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意用户登录漏洞、批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等,验证码爆破除外
•大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等
•大量源代码泄露
•智能合约权限控制缺陷

Mid Vulnerability

•需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS,涉及核心业务的 CSRF 等
•普通越权操作。包括但不限于绕过限制修改用户资料、执行用户操作等
•拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等
•由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作可被爆破成功造成的漏洞
•本地保存的敏感认证密钥信息泄露,需能做出有效利用

Low Vulnerability

•本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等
•普通信息泄露。包括但不限于 Web 路径遍历、系统路径遍历、目录浏览等
•反射型 XSS(包括 DOM XSS / Flash XSS)
•普通 CSRF
•URL 跳转漏洞
•短信炸弹、邮件炸弹(每个系统只收一个此类型漏洞)
•其他危害较低、不能证明危害的漏洞(如无法获取到敏感信息的 CORS 漏洞)
•无回显的且没有深入利用成功的 SSRF

Precautions

• 客户端包括所有通过官方途径发布的客户端程序;
• 提交在其他漏洞披露平台已提交的漏洞不计奖励。
• 开放平台的第三方应用漏洞不计奖励;
• 同一漏洞最早提交者得奖励。

Reward Plan
Serious:6.00 - 22.00 Ether
High:3.00 - 6.00 Ether
Mid:0.20 - 3.00 Ether
Low:0.05 - 0.20 Ether