بیت ۲۴: خرید و فروش ارزهای دیجیتال

برنامه باگ بانتی بیت۲۴

تیم امنیت بیت۲۴ با رویداد باگ بانتی، تمام «متخصصان تست نفوذ» را به چالش دعوت می‌کند.اگر شما هم در این زمینه تخصص دارید وعلاقه‌مند به کشف باگ‌های امنیتی اپلیکیشن‌ها و سامانه‌های بیت۲۴ هستید، این فرصت را از دست ندهید! آسیب‌پذیری‌ها و باگ‌های بیت۲۴ را بر اساس قوانین ذکر شده در پایین همین صفحه گزارش دهید و پس از داوری در تیم امنیت بیت۲۴، پاداش نقدی دریافت کنید.
گزارش باگ

قوانین و مقررات

  • حریم خصوصی تمام کاربران بیت۲۴ رعایت شود. از افشاء، تغییر، سرقت و نابودی اطلاعات جدا جلوگیری شود.
  • فرآیند تست را تنها با اکانت بیت۲۴ وشماره همراه متعلق به خودتان انجام دهید.
  • قبل از شروع تست با بررسی بخش محدوده برنامه از قرار گرفتن دامنه در حوزه باگ بانتی اطمینان پیدا کنید و اگر سوالی دارید با sec@bit24.cash در ارتباط باشید.
  • از هرگونه انجام تست که در فرآیند کسب و کار بیت۲۴ خلل ایجاد می کند خودداری کنید.
  • باگ‌ها باید در محدوده‌‌های مجاز ذکر شوند.
  • هر گزارش باید شامل یک باگ امنیتی باشد.
  • معیارمشخص کردن اهمیت باگ‌ها، استاندارد CVSS است.
  • درج پیلود (کد، اسکریپت و ...) استفاده شده برای کشف باگ، در گزارش ارسالی الزامی است.
  • باگ های اعلام شده توسط متخصصین امنیتی می بایست قابل اثبات و تکرارپذیر باشند و با جزئیات قدم به قدم باگ توضیح داده شوند.
  • از نتایج اسکنرها و ابزارهای اتوماتیک برای ارایه باگ استفاده نشود.
  • هیچ آسیب‌پذیری یا اطلاعات مرتبط را بدون رضایت کتبی Bit24 به اشخاص ثالث فاش نکنید. این شامل شبکه های اجتماعی، سایر شرکت ها یا مطبوعات می شود، اما محدود به آن نمی شود.
  • اگر به جای آسیب‌پذیری امنیتی، نقض داده یا نشت داده را گزارش می‌دهید، لطفاً مکان داده‌ها را ارائه کنید و مکان داده‌ها و جزییات آن را با دیگران به اشتراک نگذارید.
  • پس از ثبت و ارسال Bug Bounty در زمان 1 روز کاری دریافت و یا رد آسیب پذیری اعلام می شود و پس از آن در حداکثر 10 روز کاری بخش امنیت Bit24 موارد ارسالی را بررسی و پاسخ ارسال خواهد، اگر موارد ارسالی آسیب پذیری قابل قبول تلقی شود، ایمیل ارسالی شامل سطح شدت و مقدار پاداش است و همچنین ما اطلاعات حساب و یا آدرس رمزارز را درخواست خواهیم کرد، در نهایت پس از حداکثر 14 روز کاری پاداش را پرداخت می شود.

آسیب پذیری‌های قابل قبول

Server-Side Request Forgery (SSRF)
Server-Side Request Forgery (SSRF)
Information Disclosure
Information Disclosure
Improper Access Control
Improper Access Control
Cross-site Scripting (XSS)
Cross-site Scripting (XSS)
Improper Authentication
Improper Authentication
SQL Injection
SQL Injection
Privilege Escalation
Privilege Escalation
Insecure Direct Object Reference (IDOR)
Insecure Direct Object Reference (IDOR)

باگ‌های خارج از محدوده

  • Social engineering, physical attacks, spamming, SMS bombing, DDoS attacks, or non-critical rate limiting.
  • Lack of SPF, DKIM, or DMARC implementation.
  • Vulnerabilities on third-party-hosted sites, unless they directly impact Bit24's main website or involve deprecated open-source libraries.
  • Automated tool or scanner outputs, AI-generated reports, or issues that aren't reproducible.
  • Publicly disclosed vulnerabilities in third-party libraries or technologies within 30 days of disclosure.
  • Vulnerabilities requiring improbable user interaction or affecting outdated or unpatched browsers, or those needing root or jailbreak on mobile devices.
  • TLS cipher suite offerings, suggestions on best practices, non-security-impacting UX issues, or self-XSS with no security impact.
  • Reports lacking detailed instructions or proof of concept, or those disclosed publicly before Bit24 issued a comprehensive fix.
  • CSRF-able actions that don't require authentication or a session, and user enumeration.

محدوده برنامه

حوزه باگ بانتی بیت۲۴ محدود به دامنه‌های مشخص شده زیر است. هر گونه گزارش خارج از محدوده ذکر شده قابل قبول نیست.
  • bit24.cash
  • Bit24 android and iOS application

شکارچیان برتر

bug reporter
mhd_pq
50000000 تومان
Server-Side Request Forgery (SSRF)Information DisclosureImproper Access ControlCross-site Scripting (XSS)Improper AuthenticationSQL Injection
bug reporter
sourena_attr
17000000 تومان
Improper Authentication
bug reporter
fb_hunt
16000000 تومان
Improper Access ControlPrivilege EscalationInsecure Direct Object Reference (IDOR)
bug reporter
slug
13000000 تومان
Server-Side Request Forgery (SSRF)Information DisclosureImproper Access ControlCross-site Scripting (XSS)
bug reporter
محمدحسین حیدری
5000000 تومان
Server-Side Request Forgery (SSRF)
bug reporter
سامان صفایی
1000000 تومان
Server-Side Request Forgery (SSRF)

ارسال گزارش باگ

با گزارش باگ به تیم امنیت بیت۲۴ برای ارتقا کیفیت خدمات کمک کنید و پاداش نقدی دریافت کنید.
گزارش باگ