汇旺交易所漏洞赏金计划

## 尊敬的用户：

为了提升平台的安全性，汇旺交易所推出漏洞赏金计划，鼓励用户发现并报告平台存在的漏洞。我们将根据漏洞的严重程度及报告的质量给予奖励，活动详情如下：

### 活动时间
- 长期有效

### 活动报名入口
- https://forms.gle/buzvs3Cnbq6VDwnD6

### 奖励金额（按漏洞严重程度划分）

| CVSS评分 | 业务影响等级                  | 最终评级 | 奖金范围     |
|----------|-------------------------------|----------|--------------|
| 9.0-10   | 可导致直接资产损失/核心系统瘫痪 | 严重漏洞 | $1000 - $2000 |
| 7.0-8.9  | 可批量泄露用户隐私/中等级别业务中断 | 高危漏洞 | $150 - $800  |
| 4.0-6.9  | 影响单个用户功能/低风险数据泄露 | 中危漏洞 | $50 - $100   |
| 0-3.9    | 无实际攻击路径的理论漏洞       | 低危漏洞 | $10          |

### 检测范围

| 类型    | 目标            |
|---------|-----------------|
| Web     | www.huione.me   |
| IOS     | IOS应用         |
| Android | Android 应用    |

### 涉及以下漏洞类型进行奖励（WEB、移动端）
- 业务逻辑问题
- 支付操纵
- 远程代码执行（RCE）
- 注入漏洞（SQL、XXE 等）
- 文件包含（本地和远程）
- 访问控制问题（IDOR、特权升级等）
- 敏感信息泄露
- 服务器端请求伪造（SSRF）
- 跨站请求伪造（CSRF）
- 跨站脚本攻击（XSS）
- 目录遍历
- 其他具有明显潜在损失的漏洞

### 以下漏洞不在奖励范围内
除非对业务构成严重威胁（由我们自行决定），否则以下漏洞不太可能获得奖励：

#### 一、WEB端
- 第三方应用程序的漏洞
- 不属于公司的资产
- 最佳实践问题
- 最近（少于30天）披露的0day漏洞
- 影响过时的浏览器或平台用户的漏洞
- 社会工程、网络钓鱼、物理或其他欺诈活动
- 公开的登录面板，且没有利用的证据
- 在没有概念证明的情况下，说明软件已经过时/存在漏洞的报告
- 由扫描器或其他自动或主动利用工具生成的报告
- 涉及活动内容的漏洞，如网络浏览器附加组件
- 大多数没有明确影响的暴力攻击问题
- 拒绝服务（DoS/DDoS）攻击
- 理论性问题
- 中度敏感信息披露
- 垃圾邮件问题（短信、电子邮件等）
- 缺少HTTP安全头
- 基础设施漏洞，包括：
  - 证书/TLS/SSL相关问题
  - DNS问题（如MX记录、SPF记录、DMARC记录等）
  - 服务器配置问题（如开放端口、TLS等）
- 开放式重定向
- 会话修复问题
- 用户账户枚举
- 点击劫持/竊听以及只能通过点击劫持/窃听来利用的漏洞
- 描述性错误信息（如堆栈跟踪、应用程序或服务器错误）
- 不能用于攻击其他用户的自我XSS
- 登录和注销CSRF问题
- 弱验证码/验证码绕过
- 缺少Secure和HttpOnly Cookie标志
- 通过登录/忘记密码页面错误信息导致的用户名/电子邮件枚举
- 匿名用户可用表单中的CSRF（如联系表单）
- 启用OPTIONS/TRACE HTTP方法
- 未提供概念证明的主机头问题
- 内容欺骗和文本注入问题，未展示攻击媒介/无法修改HTML/CSS的漏洞
- 未嵌入链接/HTML的内容欺骗问题
- 反映的文件下载（RFD）问题
- 混合HTTP内容
- HTTPS混合内容脚本
- 使用密码重置令牌的操纵行为
- 中间人攻击（MitM）和本地攻击

#### 二、移动端
- 需要对用户设备进行物理访问的攻击
- 需要Root/Jailbreak才能利用的漏洞
- 需要大量用户交互才能利用的漏洞
- 设备上非敏感数据的暴露
- 没有概念证明的二进制静态分析报告，且影响业务逻辑
- 缺少混淆/二进制保护/Root（越狱）检测
- 绕过Root设备上的证书钉子
- 缺少漏洞缓解措施，如PIE、ARC或Stack canaries
- 受TLS保护的URL/请求体中的敏感数据
- 二进制文件中的路径暴露
- 在IPA、APK中硬编码/可恢复的OAuth和应用密钥
- 敏感信息以明文存储在设备的内存中
- 因异常URL方案或发送到导出的活动/服务/广播接收器的意图导致的崩溃（仅在敏感数据泄露时属于范围内）
- 任何类型的敏感数据存储在应用程序的私有目录中
- 使用Frida/Appmon等工具进行的运行时攻击（仅在越狱环境下可能被利用）
- 通过系统剪贴板泄露的共享链接
- 任何URI的泄露，因恶意应用有权限查看打开的URI
- 无安全影响的API密钥暴露（如谷歌地图API密钥等）

### 三、活动规则

#### 1. 白帽授权协议（必签署）
- **测试范围**：
  - Web：*.biduo.com
  - APP：官方应用商店发布的iOS/Android客户端（版本≥2.4.0）
- **禁止行为**：
  - 使用自动化扫描工具（漏洞须经人工验证）
  - 对真实用户数据执行DELETE/UPDATE操作
  - 测试账号格式：bugbounty_<自定义ID>@biduo.com
- **数据安全**：
  - 测试数据需在24小时内删除
  - 禁止公开测试过程录像/截图

#### 2. 漏洞提交规范
- **报告内容应包含**：
  - 漏洞复现步骤（含测试账号）
  - 攻击影响分析（需关联CVSS评分）
  - PoC代码/截图（视频需加密传输）
  - 禁止包含真实用户数据
- **提交时限**：发现漏洞后72小时内提交

#### 3. 分级响应SLA
| 漏洞级别 | 首次响应 | 修复时间 | 奖金支付       | 复测          |
|----------|----------|----------|----------------|---------------|
| 严重漏洞 | 4小时    | 72小时   | 48小时         | 白帽验证      |
| 高危漏洞 | 12小时   | 7天      | 5工作日        | 内部验证      |
| 中危漏洞 | 24小时   | 14天     | 10工作日       | 内部验证      |
| 低危漏洞 | 48小时   | 30天     | 15工作日       | 无需复测      |

#### 4. 最终解释权
- 汇旺交易所保留对本活动的最终解释权，包括但不限于修改、更改或取消活动，不进行另行公告。