BUGX.IO Vulnerability Review Standard
Author : BUGX.IO 审核团队
Version : 1.0
Update : 20181122
目前,BUGX.IO 审核奖励计算逐步实现自动,使用程序式计算,从而减少人为主观因素的影响。以下为我们的奖励参考维度,目前状态为开源,力求公正,与白帽子共同进步。
后续我们会开源审核标准的其它文档。
厂商类别分为A、B、C、D、E五个级别,其中
-
A、B、C厂商需要:- 收录交易所列表中
24h交易量满足最低值,$10,000
-
D类厂商- 在非小号上搜不到
- 不在收录范围内
- 交易量低于
$10,000
- D类厂商将选择性接收
- 每天
18点前的漏洞日清,18点后的漏洞纳入第二天审核,交易所厂商信息以第二天的为准。(即,1号18时前的漏洞以1号的厂商信息为标准,1号18时至2号18时漏洞,以2号的厂商信息为标准。
厂商包括:交易所、公链、代币、数字钱包、矿池、智能合约等直接相关的厂商 其余不在该范围内的厂商算作,区块链非直接相关厂商
注:
- 公链漏洞:指底层区块链技术的漏洞,如共识算法、P2P网络等。
- 代币漏洞:指的是ICO或token存在一定市值的合约的漏洞。
- 数字钱包漏洞:钱包客户端指代的是,安卓钱包、IOS钱包、Web钱包、硬件钱包等。
- 其他相关厂商包括,资讯类网站(媒体类网站,论坛网站)、矿机售卖网站、厂商核心产品的宣传网站等
厂商排位指,该厂商在其所在类中的排名位置。举例,假设某类厂商有100所,其中一个厂商在该类厂商中排23名,那么厂商排位为1 - 23/100
漏洞分数用来衡量一个漏洞的危害程度:漏洞分数 = f(呈现危害, 利用难度, 漏洞威胁)
即白帽子的POC所体现出来的危害级别,有严重、高危, 中危, 低危四个级别
利用难度 = g(攻击途径, 攻击复杂度)
- 攻击途径,包括
远程攻击、需绕过的远程攻击、本地攻击 - 攻击复杂度,包括
容易,中等,困难,该维度主要用于衡量攻击的成本,需要的专业技术水平等
漏洞威胁指,该漏洞的可能利用手段。该维度主要用来衡量一个漏洞可能存在的危害、影响。
例如,xss存在用户身份劫持、钓鱼、控制用户浏览器行为、蠕虫等。因此,漏洞的利用手段越多,该维度分值越高。
如果,白帽子的POC中存在我们暂未收录的可能攻击手段,则该白帽子该漏洞的漏洞威胁为满分
最终奖励 = h(厂商排位, 最高奖励, 漏洞分数)
其中最终奖励 ≥ (λ * 最高奖励),λ的值与厂商的级别有关,越高级别的厂商λ越大