보안 문제를 Bybit에보고하는 방법?

BYBIT에 대한 보안 취약성보고

사용자가 Bybit 플랫폼에서 잠재적 보안 취약점을 식별하면 올바른 채널을 통해보고하여 사용자 자산의 즉각적인 조치 및 보호를 보장하는 것이 필수적입니다. Bybit은 보안을 심각하게 받아들이고 백인 hat 연구원, 개발자 및 사용자가 발견 된 결함을 책임감있게 공개하도록 장려합니다. 이 과정은 패치 약점을 악의적으로 이용할 수 있기 전에 패치 약점을 돕습니다. 이러한 문제를보고하는 공식 방법은 전용 보안 플랫폼에서 주최하는 Bybit의 Bug Bounty 프로그램을 통해입니다.

책임있는 공개의 기초는 취약성의 대중 노출을 피하는 것입니다. 수정이 배포되기 전에 공개적으로 세부 사항을 공유하면 사용자 자금과 데이터가 위험에 처할 수 있습니다. Bybit은 조정 된 취약성 공개를 지원합니다. 즉, 기자와 협력하여 문제를 안전하게 검증, 재생산 및 해결합니다.

공식 버그 현상금 프로그램에 액세스

Bybit는 취약성 보고서를 관리하기 위해 Bug Bounty 프로그램을위한 잘 알려진 플랫폼 인 Hackerone 과 파트너 관계를 맺고 있습니다. 보고 과정을 시작하려면 :

• Hackerone 의 공식 Bybit 페이지로 이동하십시오 : https://hackerone.com/bybit
• 가입하거나 Hackerone 계정에 로그인하십시오
• Bybit 프로그램 페이지에있는“보고서 제출”버튼을 클릭하십시오.
• 진행하기 전에 프로그램의 범위와 규칙을주의 깊게 읽으십시오

이 프로그램은 API.Bybit.com , www.bybit.com 및 ws.bybit.com 과 같은 특정 도메인을 포함하여 어떤 자산이 범위에 있는지 명확하게 정의합니다. 또한 보상을받을 수없는 사회 공학, DDOS 공격 및 피싱 캠페인과 같은 범위 외 항목을 간략하게 설명합니다.

테스트가 허용 된 방법의 경계 내에 남아 있는지 확인하십시오. 사용자 데이터에 대한 무단 액세스, 서비스 거부 테스트 또는 권한없이 자동 스캔은 엄격하게 금지되어 실격 될 수 있습니다.

자세한 취약성 보고서 준비

고품질 보고서는 빠른 검증 가능성과 보상 자격을 높입니다. 보고서를 제출할 때 다음 구성 요소를 포함하십시오.

• 취약점을 요약하는 명확한 제목 (예 :“사용자 프로필 섹션에 저장된 XSS”)
• 결함의 본질을 설명하는 자세한 설명
• 보안 팀이 문제를 복제 할 수 있도록 단계별 재생산 지침
• 스크린 샷, 비디오 녹화 또는 네트워크 로그와 같은 증거 지원
• 잠재적 영향을 간략하게 설명하는 위험 평가 (예 : 계정 인수, 데이터 유출)
• 알려진 경우 제안 된 치료

예를 들어, 사용자 정보가 누출되는 안전하지 않은 API 엔드 포인트를 발견하면 보고서에는 정확한 엔드 포인트 URL, 사용 된 HTTP 방법, 요청 및 응답 샘플 (민감한 데이터가 수정 된) 및 누출이 발생하는 조건이 포함되어야합니다.

트래픽을 캡처 할 때는 항상 HTTPS를 사용하고 보고서에 실제 사용자 자격 증명 또는 개인 키를 포함하지 않도록하십시오. Burp Suite , Postman 또는 Browser Developer 도구와 같은 도구는 기술 세부 정보를 안전하게 수집하는 데 도움이 될 수 있습니다.

보고서 제출 및 추적

보고서를 준비한 후에는 Hackerone Portal을 통해 제출하십시오.

• 충격에 따라 적절한 심각도 수준을 선택하십시오
• 모든 지원 파일을 첨부하십시오
• 보고서를 제출하고 응답을 기다리십시오

Bybit의 보안 팀은 제출되면 일반적으로 영업일 기준 으로 정의 된 기간 내에 영수증을 인정합니다. Hackerone 대시 보드에서 보고서의 상태를 직접 모니터링 할 수 있습니다. 상태에는 "Triaged", "In Progress", "Resolved"또는 "Duplication"이 포함될 수 있습니다.

팀이 추가 정보를 요청하는 경우 전문적으로 참여하십시오. 신속한 응답은 해상도 프로세스를 가속화하는 데 도움이됩니다. 중요한 업데이트가 예상되지 않는 한 후속 문의를 72 시간 이상 두 번 이상 문의하지 마십시오.

보고서가 유효하고 이전에 알려지지 않은 경우 Bybit의 Bug Bounty 프로그램 에 따라 금전적 보상을받을 수 있습니다. 보상은 원격 코드 실행 또는 주요 인증 우회와 같은 중요한 취약점의 경우 $ 500 ~ $ 50,000 이상의 심각도에 따라 다릅니다.

기밀성 및 책임있는 공개

보고서를 제출함으로써 귀하는 Bybit이 완전히 해결 될 때까지 취약성의 세부 정보를 기밀로 유지하기로 동의합니다. 여기에는 자제가 포함됩니다.

• 포럼, 소셜 미디어 또는 블로그의 문제에 대해 공개적으로 논의
• 제 3 자에게 악용을 보여줍니다
• 개념 증명에 필요한 것 이상의 취약성을 악용합니다

BYBIT는 취약성이 충분히 완화되는시기와 공개가 발생할 수있는시기를 결정할 권리가 있습니다. 어떤 경우에는 연구원이 동의하면 공공 보안 권고에서 기자에게 신용을 줄 수 있습니다.

기밀성을 위반하면 현상금 프로그램에서 실격 될 수 있으며, 특히 악의적 인 사용 또는 데이터 추출이 감지되는 경우. 윤리적 행동은 참여를위한 핵심 요건입니다.

비

보안 연구원이 아니지만 의심스러운 로그인 활동, 피싱 시도 또는 계정 액세스 손상과 같은 보안 문제가 발생했다고 생각하는 경우 Bybit의 고객 지원 채널을 대신 사용하십시오.

• Bybit 계정에 로그인하십시오
• https://www.bybit.com/support/ 의 도움말 센터를 방문하십시오.
• "보안"카테고리에 따라 티켓을 엽니 다
• 타임 스탬프, IP 주소 및 거래 ID와 같은 관련 세부 정보 제공

긴급한 경우는 security@bybit.com에 직접 문의하십시오. 이 이메일은 내부 보안 팀이 모니터링하며 검증 된 보안 사고에만 사용해야합니다. 제목 줄에 "보안 문제"를 포함시키고 이메일을 통해 비밀번호 또는 2FA 코드와 같은 민감한 데이터를 보내지 마십시오.

관련 로그 또는 스크린 샷을 첨부하여 조사를 지원하십시오. 무단 인출 또는 로그인 시도와 같은 계정 관련 위협이 즉시 확대됩니다.

자주 묻는 질문

Hackerone 계정없이 취약점을보고 할 수 있습니까? 아니요. 모든 공식적인 취약성 보고서는 Bybit의 Bug Bounty 프로그램이 호스팅되는 Hackerone 플랫폼을 통해 제출해야합니다. 보고서를 제출하고 추적하려면 무료 계정 작성이 필요합니다.

어떤 유형의 취약점이 보상을받을 수 있습니까? 적격 문제로는 인증 바이 패스 , 불안정한 직접 개체 참조 (IDOR) , 크로스 사이트 스크립팅 (XSS) , 서버 측 요청 위조 (SSRF) 및 불안한 API 구현이 포함됩니다. 심각도와 영향은 보상 금액을 결정합니다.

모든 Bybit 도메인에서 테스트가 허용됩니까? 아니요. Hackerone 프로그램의 경사 섹션 에 나열된 도메인 만 테스트를 위해 허용됩니다. 타사 서비스 또는 범위 외 영역에 대한 테스트는 프로그램에서 제외 될 수 있습니다.

내 보고서에 대한 인정을받을 수 있습니까? Bybit May는 제출 중에 옵트 인 경우 보안 권고에 대한 귀하의 기여를 공개적으로 인정합니다. 인식에는 일반적으로 개인 정보가 공개되지 않은 HackerOne 사용자 이름과 취약성 제목이 포함됩니다.