安全永远是数字钱包领域的重中之重,imToken 为了给用户打造一款安全可信赖的产品,特联合慢雾科技,发布《imToken 安全漏洞与威胁情报赏金计划》,希望区块链社区中更多优秀的开发者,爱好者能够参与进来,对于能够发现 imToken 漏洞的人,imToken 和慢雾分别有丰厚的奖励作为回报。
业务范围
imToken App,获取地址:https://token.im/download
imToken 相关 Web 平台: *.token.im、*.consenlabs.com
imToken 邮箱、服务器等
TFT 智能合约
处理流程
报告阶段
报告者访问「慢雾区」网站,进入「赏金漏洞提交」页面(URL:https://slowmist.io/bug-bounty.html)提交威胁情报(状态:待审核)
处理阶段
- 一个工作日内,慢雾安全团队会确认「慢雾区」收到的威胁情报报告并跟进开始评估问题, 同时将情报反馈给 imToken 对接人(状态:审核中)
- 三个工作日内,imToken 技术团队处理问题、给出结论并计分(状态:已确认/已忽略)。必要时会与报告者沟通确认,请报告者予以协助
修复阶段
- imToken 业务部门修复威胁情报中反馈的安全问题并安排更更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高危问题 24 小时内,中危问题三个工作日内,低危问题七个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定
- 报告者复查安全问题是否修复(状态:已复查/复查异议)
- 报告者确认安全问题已修复后,imToken 技术团队告知慢雾安全团队处理结论和漏洞得分,并与慢雾安全团队一起发放奖励(状态:已结束)
漏洞评级及奖励标准
等级 | imToken 奖励 | 慢雾区奖励 |
严重 | 5000 ~ 10000 USD | 512 慢雾币 |
高危 | 1000 ~ 5000 USD | 256 慢雾币 |
中危 | 500 ~ 1000 USD | 100 慢雾币 |
低危 | 0 ~ 500 USD | 32 慢雾币 |
严重漏洞
严重的漏洞是指,发生在核心系统业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统),可造成大面积影响的,获取大量(依据实际情况酌情限定)业务系统控制权限,获取核心系统管理人员权限并且可控制核心系统。
包括但不限于:
- 内网多台机器控制
- 核心后台超级管理员权限获取且造成大范围企业核心数据泄露,可造成巨大影响
- 智能合约溢出、条件竞争漏洞
高危漏洞
- 系统的权限获得(getshell、命令执行等)
- 系统的 SQL 注入(后台漏洞降级,打包提交酌情提升)
- 敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的 SSRF 等)
- 任意⽂件读取
- 可获取任意信息的 XXE 漏洞
- 涉及金钱的越权操作、支付逻辑绕过(需最终利用成功)
- 严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意用户登录漏洞、批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等,验证码爆破除外
- 大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等
- 大量源代码泄露
- 智能合约权限控制缺陷
中危漏洞
- 需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS,涉及核心业务的 CSRF 等
- 普通越权操作。包括但不限于绕过限制修改用户资料、执行用户操作等
- 拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等
- 由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作可被爆破成功造成的漏洞
- 本地保存的敏感认证密钥信息泄露,需能做出有效利用
低危漏洞
- 本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等
- 普通信息泄露。包括但不限于 Web 路径遍历、系统路径遍历、目录浏览等
- 反射型 XSS(包括 DOM XSS / Flash XSS)
- 普通 CSRF
- URL 跳转漏洞
- 短信炸弹、邮件炸弹(每个系统只收一个此类型漏洞)
- 其他危害较低、不能证明危害的漏洞(如无法获取到敏感信息的 CORS 漏洞)
- 无回显的且没有深入利用成功的 SSRF
最后
如果你对《安全漏洞与威胁情报赏金计划》有任何疑问或者是问题, 可以提交工单到 hack@token.im, 我们会有专人进行解答。
更多信息请前往:https://slowmist.io/imtoken/