安全研究人员挖掘漏洞需要付出精力和时间,为了感谢您积极帮助我们修复漏洞,我们推出了漏洞奖励方案,以示对漏洞报告者的诚挚感谢。

致谢对象:在漏洞修复前提交漏洞信息者。

获奖资格:我们会结合利用场景、利用难度等多方面因素对您提交的有效漏洞进行评级并奖励。如果同一漏洞有多位提交者,我们会以最先提交并清晰表述、重现此漏洞问题的提交者为唯一受奖励者。

保密原则:我们会对各位提交的漏洞第一时间进行分析复现处理,并及时与漏洞提交者取得联系发放奖励。同时,我们希望漏洞提交者能够理解:我们对待安全漏洞的态度是谨慎负责的,可能需要时间去分析和修复,因此希望您不要对外公开漏洞的任何细节。在您向我们提交漏洞时,我们默认您同意了信息保密原则。如果您违反了保密原则,我们会取消相关人员的奖励资格并保留进一步处理的权力。

warn

我司业务产品范围(包括但不限于):

bitmain.com btc.com bitdeer.com antpool.com shop.bitmain.com 矿机类产品

BITMAIN BTC.com BITDEER ANTPOOL ANTMINER
  • web/服务端
  • 移动端
  • 硬件
  • 情报
严重

奖励:¥3000-¥5000

奖励以电子礼品卡形式发放

1、直接获取核心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等。
2、直接导致严重的信息泄露漏洞,包括但不限于重要数据库的SQL注入、系统权限控制不严格等导致的敏感数据泄露漏洞等。
3、直接导致严重影响的逻辑漏洞,包括但不限于核心账户体系的账密校验逻辑、支付逻辑漏洞等。
4、直接导致业务拒绝服务的漏洞,包括但不限于可造成严重影响的远程拒绝服务漏洞等。

高危

奖励:¥1000-¥3000

奖励以电子礼品卡形式发放

1、重要业务敏感数据信息泄露漏洞,包括但不限于重要用户信息、订单信息、数据文件信息等。
2、重要业务的逻辑漏洞,包括但不限于权限绕过等。
3、不需交互的重点业务漏洞,包括但不限于文件遍历、任意文件包含、任意文件读取等。
4、包含重要业务敏感信息的非授权访问,包括但不仅限于绕过认证直接访问管理后台、后台弱密码、可直接获取大量内网敏感信息的SSRF等。
5、遍历导致大量敏感信息泄露等。

中危

奖励:¥100-¥1000

奖励以电子礼品卡形式发放

1、不需交互对用户产生危害的安全漏洞,包括但不限于一般页面存储型XSS等。
2、普通信息泄露漏洞,包括但不限于用户信息泄露和业务敏感信息泄露等。
3、普通的逻辑设计缺陷和流程缺陷,包括但不限于越权查看非核心系统的订单信息、记录等。
4、其他造成中度影响的漏洞,例如:没有敏感信息的SQL注入、无法回显的SSRF漏洞等。

低危

奖励:≤¥100

奖励以电子礼品卡形式发放

1、在特殊条件下才能获取用户信息的安全漏洞,包括但不限于反射XSS等。
2、轻微信息泄露,包括但不限于服务器物理路径、phpinfo、边缘系统文件、本地日志等。
3、可能存在安全隐患但利用成本很高的漏洞。
4、难以利用但又可能存在安全隐患的问题,包括但不限于可能引起传播和利用的 Self-XSS、非重要的敏感操作 CSRF等。
5、其他造成低危害的漏洞,例如:管理后台开放、解析漏洞、存在可被暴力破解接口等。

漏洞提交邮箱:src@bitmain.com