Tổng quan

Bug bounties là một phương thức thưởng cho những người tìm ra lỗ hổng bảo mật trong hệ thống của một công ty hoặc tổ chức. Đây là một cách hiệu quả để tăng cường độ an toàn của hệ thống bằng cách sử dụng sự am hiểu của cộng đồng về bảo mật. Khi các lỗ hổng bảo mật được phát hiện và báo cáo, những người tìm ra chúng sẽ được thưởng tiền hoặc các phần thưởng khác, tùy thuộc vào mức độ nghiêm trọng của lỗ hổng.

Nhờ vào việc này, bug bounties giúp đảm bảo rằng các lỗ hổng được phát hiện sớm và giải quyết trước khi chúng có thể được khai thác bởi các kẻ tấn công. Bug bounties cũng thường được sử dụng để thu hút sự quan tâm của các chuyên gia về bảo mật và cộng đồng hacker, góp phần tăng cường độ tin cậy và an toàn của hệ thống.

Series hướng dẫn lập trình Cadence

Bug & bounty

Flow Bounty
Flow Bounty

Với mục tiêu tăng cường an ninh và bảo vệ các dịch vụ, Flow cung cấp chương trình Bug Bounty hấp dẫn với giải thưởng lên tới 1 triệu USD cho mỗi cá nhân hoặc tổ chức. Các giải thưởng sẽ được xác định dựa trên mức độ nghiêm trọng của lỗ hổng và sẽ được quyết định bởi Flow theo quyền hạn tuyệt đối của họ. Tuy nhiên, mỗi người hoặc tổ chức chỉ được trả tối đa 1 triệu USD trong vòng 12 tháng liên tiếp dựa trên giá trị giải thưởng tại thời điểm thanh toán. Tất cả các giải thưởng Bug Bounty đều tuân thủ luật pháp hiện hành.

Những điều cần làm:

  • Cố gắng hết sức để tránh truy cập trái phép, sử dụng, tải xuống, phá hủy hoặc tiết lộ thông tin cá nhân hoặc tin cậy.
  • Tránh các hành động có thể ảnh hưởng đến trải nghiệm người dùng, làm gián đoạn hệ thống sản xuất, thay đổi hoặc phá hủy dữ liệu trong quá trình kiểm thử bảo mật.
  • Sử dụng các kênh liên lạc do chúng tôi cung cấp để báo cáo thông tin lỗ hổng cho chúng tôi.
  • Giữ thông tin về bất kỳ lỗ hổng nào bạn phát hiện ra giữa chúng tôi bí mật trong một thời gian hợp lý để cho phép chúng tôi xem xét và giải quyết lỗ hổng hoặc cho đến khi chúng tôi đã thông báo cho bạn rằng lỗ hổng đã được giải quyết.
  • Chỉ kiểm tra các tài sản được liệt kê trong phần “Tài sản trong phạm vi”.

Những điều không nên làm:

  • Không bao gồm Dữ liệu Nhạy cảm trong báo cáo của bạn. Xem phần “Dữ liệu Nhạy cảm” để biết thêm thông tin.
  • Không thực hiện bất kỳ cuộc tấn công nào có thể gây ra từ chối dịch vụ cho mạng, máy chủ, ứng dụng hoặc dịch vụ trên bất kỳ cổng hoặc giao thức nào.
  • Không sử dụng các công cụ quét tự động để quét hoặc tấn công liên tục vào các điểm cuối của chúng tôi.
  • Không cố gắng tấn công không kỹ thuật như kỹ nghệ xã hội, lừa đảo qua email, hoặc các cuộc tấn công vật lý vào nhân viên, người dùng hoặc cơ sở hạ tầng của chúng tôi.
  • Không thực hiện kiểm tra vật lý như truy cập văn phòng và trung tâm dữ liệu (ví dụ như mở cửa, tailgating, tấn công đầu đọc thẻ hoặc kiểm tra phá hủy vật lý). Không kiểm tra các tài sản được liệt kê rõ ràng trong phần “Tài sản Nằm ngoài Phạm vi”.

Môi trường thử nghiệm

Để đảm bảo cộng đồng nhà phát triển có thể sử dụng và trải nghiệm đầy đủ tính năng mới này, đội ngũ Flow đã triển khai bản phát hành xem trước của nó trên Testnet. Vì vậy, bạn có thể kiểm tra nó trước khi nó được phát trực tiếp!

Tìm hiểu thêm về Testnet tại đây

Tài sản Nằm trong Phạm Vi

Để đủ điều kiện để nhận được phần thưởng, bạn có thể báo cáo lỗ hổng trong một hoặc nhiều tài sản Dapper sau đây:

  • *.flow.com
  • *.onflow.org

Tài Sản Nằm Ngoài Phạm Vi

Các tài sản sau đây không thuộc Chương Trình Tiết Lộ Trách Nhiệm: n/a

Dữ liệu Nhạy Cảm

Vì lợi ích bảo vệ sự riêng tư, chúng tôi không muốn nhận được báo cáo chứa: Thông tin cá nhân Dữ liệu thẻ thanh toán (ví dụ: số thẻ tín dụng) Thông tin tài chính (ví dụ: số tài khoản ngân hàng) Thông tin chứng chỉ được truy cập hoặc bẻ khóa trong văn bản rõ ràng

Những loại lỗ hổng không đủ điều kiện (Loại trừ)

Giao thức Flow:

Hệ sinh thái Flow đang tiến hành phân tán mạng lưới dần dần bằng cách củng cố bảo mật cấp giao thức và giới thiệu các nút không yêu cầu phân quyền. Vì lý do này, Flow vẫn dựa trên các nút tuân thủ giao thức và tiền thưởng giới hạn cho các loại nút không yêu cầu phân quyền. Chỉ các cuộc tấn công bắt nguồn từ các nút truy cập và quan sát mới đủ điều kiện.

Các lỗ hổng cấp giao thức chỉ có thể khai thác thông qua việc kiểm soát các nút Collection, Consensus, Execution hoặc Verification được loại trừ.

Các loại lỗ hổng ứng dụng web

  • Clickjacking trên các trang không có hành động nhạy cảm.
  • Tấn công Cross-Site Request Forgery (CSRF) trên các biểu mẫu chưa xác thực hoặc không có hành động nhạy cảm.
  • Các cuộc tấn công yêu cầu MITM hoặc truy cập vật lý vào thiết bị của người dùng.
  • Sử dụng thư viện có lỗ hổng biết trước mà không có bằng chứng khai thác được.
  • Thiếu các phương pháp tốt nhất trong cấu hình SSL / TLS.
  • Bất kỳ hoạt động nào có thể dẫn đến gián đoạn dịch vụ hoặc cuộc tấn công từ chối dịch vụ (DoS).
  • Vấn đề về chèn nội dung giả mạo và chèn văn bản mà không hiển thị một vector tấn công / không thể chỉnh sửa HTML / CSS.
  • Vấn đề về giới hạn tỷ lệ hoặc tấn công brute force trên các điểm cuối không xác thực.
  • Thiếu các phương pháp tốt nhất trong Chính sách Bảo mật Nội dung (CSP).
  • Thiếu các cờ HttpOnly hoặc Secure trên cookie.
  • Thiếu các phương pháp tốt nhất cho email (Các bản ghi SPF / DKIM / DMARC không hợp lệ hoặc không đầy đủ, v.v.).
  • Lỗ hổng chỉ ảnh hưởng đến người dùng của trình duyệt lỗi hoặc không được vá (tức là, ít hơn hai phiên bản ổn định đằng sau phiên bản ổn định mới nhất được phát hành).
  • Tiết lộ phiên bản phần mềm, vấn đề xác định banner hoặc thông báo lỗi hoặc tiêu đề (ví dụ, thông tin trace stack, ứng dụng hoặc lỗi máy chủ).
  • Các vấn đề yêu cầu sự tương tác không thực tế của người dùng.
  • Kỹ thuật xâm nhập xã hội của nhân viên hoặc nhà thầu của Dapper.
  • Tabnabbing.

Cam kết với bạn

Các hoạt động được tiến hành theo Chương trình Báo cáo trách nhiệm sẽ được coi là được ủy quyền, và chúng tôi sẽ không khởi kiện pháp lý đối với bạn. Dapper giữ lại tất cả các quyền pháp lý trong trường hợp không tuân thủ chương trình này.

Chúng tôi sẽ làm việc với bạn, điều tra và giải quyết các lỗ hổng trong một khoảng thời gian hợp lý.

Chúng tôi giữ quyền thay đổi Chương trình Báo cáo trách nhiệm bất cứ lúc nào.

Phần thưởng

Phần thưởng sẽ dựa trên mức độ nghiêm trọng của lỗ hổng. Số tiền thưởng, nếu có, sẽ được quyết định bởi chúng tôi theo quyền hạn duy nhất của chúng tôi. Tối đa 1 triệu đô la Mỹ cho mỗi người hoặc tổ chức sẽ được trả trong bất kỳ 12 tháng liên tiếp nào dựa trên giá trị thưởng vào thời điểm thanh toán. Ngoài ra, tất cả các phần thưởng bounty đều phải tuân thủ pháp luật áp dụng.

Để đủ điều kiện nhận phần thưởng, lỗ hổng phải nằm trong Phạm vi Tài sản của chúng tôi, tuân thủ Hướng dẫn Phát trách nhiệm của chúng tôi và đáp ứng các tiêu chí sau:

  • Chưa được biết trước – Khi báo cáo, chúng tôi không được biết về vấn đề đó trước đó, hoặc bằng cách khám phá nội bộ hoặc báo cáo khác.
  • Tác động vật chất – Lỗ hổng có thể chứng minh được, nếu khai thác, lỗ hổng sẽ ảnh hưởng đáng kể đến tính bảo mật, toàn vẹn hoặc khả dụng của tài sản của chúng tôi.
  • Yêu cầu hành động – Lỗ hổng yêu cầu một số biện pháp giảm thiểu.
  • Tham gia của bạn không bị cấm bởi pháp luật áp dụng. Các tiêu chí sau đây định nghĩa các phần thưởng cho giao thức Flow và Cadence:

Mức độ nghiêm trọng: Critial

Phần thưởng: 100.000 USD

Tiêu chí:

  • Giải pháp khẩn cấp
  • Công bố công khai
  • Hard-fork của hợp đồng thông minh

Mức độ nghiêm trọng: Cao

Phần thưởng: 50.000 USD

Tiêu chí:

  • Phân tích và hành động ngay lập tức là cần thiết
  • Công bố công khai trong hầu hết các trường hợp
  • Khai thác sẽ ảnh hưởng đáng kể đến kinh doanh
  • Sửa lỗi của hợp đồng thông minh

Mức độ nghiêm trọng: Trung bình

Phần thưởng: $10,000 USD

Tiêu chí:

  • Yêu cầu phải khắc phục, nhưng tác động không đáng kể

Mức độ nghiêm trọng: Thấp

Phần thưởng: $1,000 USD

Tiêu chí:

  • Vấn đề có nguy cơ thấp như cấu hình sai sót không có cách chứng minh để khai thác.

Báo cáo lỗ hổng

Xin hãy liên hệ với đội ngũ Flow nếu bạn có một vấn đề về bảo mật. Nếu bạn tin rằng bạn đã tìm thấy một lỗ hổng bảo mật trong một trong các sản phẩm hoặc nền tảng, hãy gửi email: security@onflow.org

Nếu bạn muốn mã hóa thông tin bạn gửi cho chúng tôi, hãy sử dụng khóa PGP của chúng tôi tại OpenPGP Key Server.

Xin vui lòng bao gồm các thông tin sau khi báo cáo của bạn:

Mô tả vị trí (ví dụ: playground / emulator / CLI / Testnet / domain) và tác động tiềm năng của các lỗ hổng; Mô tả chi tiết các bước cần thiết để tái hiện lỗ hổng; và Bất kỳ bằng chứng thực tế, ảnh chụp màn hình và chụp màn hình nào. Nếu khả thi, xin vui lòng bao gồm các thông tin sau:

  1. Phiên bản Cadence hoặc Node với phiên bản phần mềm
  2. Giao dịch hoặc kịch bản cho thấy vấn đề
  3. Liên kết đến tài liệu liên quan trong trường hợp tài liệu không rõ ràng / mơ hồ, hoặc đề cập nếu điều này không được bao phủ bởi tài liệu

Xin vui lòng trả lời các yêu cầu theo dõi từ nhóm của chúng tôi để cập nhật hoặc thông tin bổ sung.

Cộng đồng hệ sinh thái Flow Việt Nam

Kết luận

Trong bối cảnh các cuộc tấn công mạng ngày càng trở nên phổ biến và tinh vi, việc tìm kiếm và khắc phục các lỗ hổng bảo mật trên các nền tảng trở nên càng quan trọng hơn bao giờ hết. Bug bounty program là một phương thức hiệu quả để tìm ra các lỗ hổng bảo mật, giúp ngăn chặn các cuộc tấn công trước khi chúng gây ra thiệt hại.

Với Bug bounty program của Flow, việc phát hiện và báo cáo các lỗ hổng bảo mật trên nền tảng này không chỉ giúp bảo vệ dữ liệu của người dùng mà còn mang lại cho bạn một khoản thưởng lên tới 1 triệu đô la Mỹ. Với các tiêu chí khắt khe và phương thức trả thưởng rõ ràng, bạn có thể hoàn toàn yên tâm về tính minh bạch và công bằng trong quá trình tham gia.

Với sự hỗ trợ của những chuyên gia hàng đầu trong lĩnh vực bảo mật, chương trình Bug bounty của Flow sẽ không chỉ mang lại cho bạn một cơ hội để phát triển kỹ năng của mình mà còn giúp đảm bảo sự an toàn cho toàn bộ cộng đồng người dùng trên nền tảng này. Hãy tham gia ngay và đóng góp vào một môi trường mạng an toàn hơn!