如何向BYBIT报告安全问题？

了解有关BYBIT报告的安全漏洞

当用户在BYBIT平台上识别潜在的安全漏洞时，必须通过正确的渠道报告它们，以确保对用户资产的及时行动和保护。 Bybit认真对待安全性，并鼓励白帽研究人员，开发人员和用户负责任地披露任何发现的缺陷。此过程有助于在恶意被剥削之前遇到薄弱的弱点。报告此类问题的官方方法是通过在专用安全平台上托管的BYBIT的Bug Bounty程序。

负责任的披露的基础是避免公众暴露于漏洞。在部署修复程序之前，公开共享详细信息可以使用户资金和数据处于危险之中。 Bybit支持协调的漏洞披露，这意味着他们与记者合作以安全的方式验证，重现和解决问题。

访问官方的漏洞赏金计划

BYBIT与Hackerone合作，这是一个著名的Fub Bounty程序平台，用于管理漏洞报告。开始报告过程：

• 导航到Hackerone上的官方BYBIT页面： https：//hackerone.com/bybit
• 注册或登录到您的Hackerone帐户
• 单击位于BYBIT程序页面上的“提交报告”按钮
• 在继续之前，请仔细阅读程序的范围和规则

该计划清楚地定义了哪些资产在范围内，包括诸如API.BYBIT.com ， www.bybit.com和wss.bybit.com之类的特定域。它还概述了诸如社会工程，DDOS攻击和网络钓鱼活动等脱节项目，这些项目没有资格获得奖励。

确保您的测试保持在允许方法的边界内。未经许可，未经许可访问用户数据，拒绝服务测试或自动扫描，未经许可被严格禁止，并可能导致取消资格。

准备详细的漏洞报告

高质量的报告增加了快速验证和奖励资格的可能性。提交报告时，包括以下组件：

• 清晰标题汇总了漏洞（例如，“在用户配置文件部分中存储的XSS”）
• 详细说明说明缺陷的性质
• 逐步复制指令，因此安全团队可以复制问题
• 支持屏幕截图，视频记录或网络日志等证据
• 风险评估概述潜在影响（例如，收购，数据泄漏）
• 建议的修复如果已知

例如，如果您发现泄漏用户信息的不安全API端点，则报告应包括确切的端点URL，所使用的HTTP方法，请求和响应示例（已编辑了敏感数据）以及泄漏发生的条件。

在捕获流量时始终使用HTTP ，并避免在报告中包括真实的用户凭据或私钥。 Burp Suite ， Postman或浏览器开发人员工具等工具可以安全地收集技术细节。

提交和跟踪您的报告

准备报告后，通过黑客门户提交：

• 根据影响选择适当的严重程度
• 附加所有支持文件
• 提交报告并等待答复

提交后，BYBIT的安全团队通常会在定义的时间范围内（通常在五个工作日内）承认收据。您可以直接在Hackerone仪表板中监视报告状态。状态可能包括“三角”，“正在进行的”，“解决”或“重复”。

如果团队请求其他信息，则可以专业参与。及时的响应有助于加速分辨率。除非预期关键更新，避免每72小时多次进行后续查询。

如果您的报告有效且以前未知，则可能有资格根据Bybit的Bug Bounty计划获得货币奖励。奖励根据严重性的不等，从500美元到$ 50,000或更多的关键漏洞（例如远程代码执行或主要身份验证绕过）不等。

机密性和负责任的披露

通过提交报告，您同意将漏洞机密的详细信息保留在BYBIT完全解决。这包括避免以下内容：

• 公开讨论论坛，社交媒体或博客上的问题
• 向第三方展示利用
• 利用超出概念证明所必需的脆弱性

Bybit保留确定何时充分缓解漏洞以及何时发生披露的权利。在某些情况下，如果研究人员同意，他们可能会在其公共安全咨询中归功于记者。

违反机密性可能会导致赏金计划和潜在的法律行动取消资格，尤其是在检测到恶意使用或数据剥离的情况下。道德行为是参与的核心要求。

非研究者的替代报告方法

如果您不是安全研究人员，但相信您遇到了安全问题，例如可疑登录活动，网络钓鱼尝试或折衷的帐户访问权限，请使用Bybit的客户支持渠道。

• 登录到您的bybit帐户
• 请访问https://www.bybit.com/support/的帮助中心
• 在“安全”类别下打开票
• 提供相关详细信息，例如时间戳，IP地址和交易ID

对于紧急情况，请直接联系Security@bybit.com 。该电子邮件由内部安全团队监视，仅应用于经过验证的安全事件。在主题行中包括“安全问题”，并避免通过电子邮件发送敏感数据或2FA代码。

附加任何相关的日志或屏幕截图以协助调查。与帐户有关的威胁，例如未经授权的提款或登录尝试，将立即升级。

常见问题

我可以在没有黑客帐户的情况下报告漏洞吗？否。所有正式的漏洞报告必须通过托管Bybit的Bug Bounty计划的Hackerone平台提交。创建一个免费帐户必须提交和跟踪报告。

哪些类型的漏洞有资格获得奖励？符合条件的问题包括身份验证旁路，不安全的直接对象参考（IDOR） ，跨站点脚本（XSS） ，服务器端请求伪造（SSRF）和不安全的API实现。严重性和影响决定了奖励金额。

是否允许在所有BYBIT域上进行测试？否。仅允许在Hackerone程序的“范围内”部分中列出的域进行测试。对第三方服务或范围内域进行测试可能会导致该计划排除。

我会得到报告的认可吗？如果您在提交期间选择加入，Bybit可以公开承认您在其安全咨询中的贡献。识别通常包括您的黑客用户名和漏洞标题，没有披露个人详细信息。