链知道手机版手机版 链知道官方公众号官方公众号 登录 注册
虚拟币:471 代币:261 交易平台:106 24小时成交量:¥9060.28亿 总市值:¥26199.26亿 GBI指数:4406.48
首页 > 资讯 > 区块链安全 > QTUM量子链 & BUGX 发布漏洞赏金计划,奖金最高10000 美元

QTUM量子链 & BUGX 发布漏洞赏金计划,奖金最高10000 美元

作者:区块链安全 时间:2019-04-11 18:06:33 阅读:225

区块链安全生态BUGX项目上新啦,本次上新的漏洞赏金计划是:QTUM量子链—一个开源区块链项目,是首个建立在 UTXO 模型之上,采用 PoS 共识机制和去中心化治理机制,且兼容多虚拟机的价值传输网络和智能合约平台。

QTUM量子链 & BUGX 发布漏洞赏金计划,奖金最高10000 美元

欢迎广大安全专家在测试范围内进行合理的安全测试,最高奖励可达10000美元等值的QTUM!

QTUM量子链 & BUGX 发布漏洞赏金计划,奖金最高10000 美元

评定规则

严重漏洞

严重的漏洞是指,发生在核心系统业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统),可造成大面积影响的,获取大量(依据实际情况酌情限定)业务系统控制权限,获取核心系统管?人员权限并且可控制核心系统。包括但不限于:

(1)内网多台机器控制

(2)核心后台超级管理员权限获取且造成大范围企业核心数据泄露,可造成巨大影响

(3)智能合约溢出、条件竞争漏洞等会导致主网出现严重的数据问题。

(4)共识层漏洞或者以较小的代价对主网产生严重的 DDos,直接导致主网崩溃或者无法正常出块

(5)由于节点溢出、命令执行等问题导致节点服务器被入侵、数据泄密、系统文件读取、命令执行等危害

(6)由于共识机制缺陷而发生的可利用的女巫攻击、双花等

QTUM量子链 & BUGX 发布漏洞赏金计划,奖金最高10000 美元

高危漏洞

(1)系统的权限获得(getshell、命令执行等)

(2)系统的 SQL 注入(后台漏洞降级,打包提交酌情提升)

(3)敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的 SSRF 等)

(4)任意文件读取

(5)可获取任意信息的 XXE 漏洞

(6)涉及金钱的越权操作、支付逻辑绕过(需最终利用成功)

(7)严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意用户登录漏洞、批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等,验证码爆破除外

(8)大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管?员认证信息且成功利用的存储型 XSS 等

(9)大量源代码泄露

(10)共识层消息处理不当,少部分节点影响。

(11)通过全节点 P2P 网络入侵服务器获取控制权限

(12)涉及金钱的越权操作、支付逻辑绕过(需最终利用成功)

(13)异常智能合约攻击,避免耗尽节点资源

(14)加密算法的错误实现或使用,包括加密、解密、签名、验证等过程

中危漏洞

(1)需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS,涉及核心业务的 CSRF 等

(2)普通越权操作。包括但不限于绕过限制修改用户资?执行用户操作等

(3)由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作可被爆破成功造成的漏洞

(4)本地保存的敏感认证密钥信息泄露,需能做出有效利用

(5)主链业务设计缺陷,导致业务无法正常实现。

(6)RPC 接口或者交易在参数处理中不合理,导致一些较为严重的问题,比如系统的 SQL 注入等。

(7)受限拒绝服务漏洞。在一定限制下,导致应用拒绝服务等造成影响的远程拒绝服务漏洞等。

(8)本地保存的敏感认证密钥信息泄露,需能做出有效利用。

低危漏洞

(1)本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等

(2)普通信息泄露。包括但不限于 Web 路径遍历、系统路径遍历、目录浏览等

(3)反射型 XSS(包括 DOM XSS / Flash XSS)

(4)URL 跳转漏洞

(5)短信炸弹、邮件炸弹(每个系统只收一个此类型漏洞)

(6)其他危害较低、不能证明危害的漏洞(如无法获取到敏感信息的 CORS 漏洞)

(7)无回显的且没有深入利用成功的 SSRF

(8)本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务。

(9)RPC 接口返回值或者一些数据结构设计不合理影响用户体验,需要指出不合理的地方

(10)一些较为严重的用户体验问题

(11)其他危害较低、不能证明危害的漏洞


登录 发贴

0人参与评论最新评论