A4 Bug Bounty

Мы постоянно работаем над тем, чтобы обеспечить достойный уровень безопасности наших продуктов и данных наших пользователей. Надеемся вы сможете помочь нам с этим. Ниже изложены правила нашей Bug Bounty программы. Пожалуйста, внимательно прочитайте их.

Категория уязвимости и Награды

Каждый участник, который первым найдет и сообщит о валидной уязвимости, может получить денежное вознаграждение. Размер вознаграждения зависит от критичности найденной уязвимости. Наши эксперты оценят уязвимость и на основе проведённого анализа установят критичность, отталкиваясь от ущерба, который мог возникнуть из-за нее.

Критическая / Critical100000 A4Local
Высокая / High30000 A4For Publicly Accessible Asset
Средняя / Medium10000 A4Token Leakage via Host Header Poisoning
Низкая / Low3000 A4Non-Privileged User to Anyone

Отправьте свои выводы по адресу “[email protected]”. Просим вас зашифровать содержимое своих электронных писем с помощью этого ключа GPG.
В письме укажите все необходимое по найденной ошибке:

-----BEGIN PGP PUBLIC KEY BLOCK----- mQINBGJOKd4BEAC7cd7viKc2fRoXZCEkjjUDLXcjNd1yY3VhY137zK5uD5uc47Be 1ge/Pv6ZTlPZcGAPYjLvAxhie88lkskHWez1XKLkAfUOKUZtwXBRKguh06MlbTVU 1Ikyy8h4B4XoVwlocmIzHf0tqXV5uwOjNcHmOYQwiDGaLejK/Bfe4n6MYxy6vBT3 HrPaIkRmW0Q1mGahQNbLgspeW3QKCj0//x6C6oHCHrcZo6v2xDLDB0aX/lidMD7X wSCu30MfmHrdEd+T+/b1HScJErsJSGHNRSswg/4VkD1G2AwA1EC86SDq9J1Jr0Ob OML7FyIazsDwq+5geC8KvzYq4NdZ2s19+p6kuZgTvPwOjnfisrNvK7RUw0Z8D08Y ro/QXaPzTgnroTyKhO4cz0y71QOhulyujrsTi0LOT/C39SddVMu2tcC4kioiZ3Wp PV5zcj4aW6Ga/z8j2pCKkrthUu1/9oYDr2pc/lFmi0SH2zapQeNAPC4vuNl8gQMF ps7Q/WjzeXC6b4SJVu+dbIj2D1Upyj1h1kGdVzkt8R5rqqjJfQLttqSk7+uQvmxd ZR+gQTPEKKnucRZ7HcV1vFMy4Tu7OuoJMB3H+4Qa6yHLQZl/SyAbI8pGgXF3MBp2 oaleTG/rCx5iQnGXCXOtpS55/ky8zp08UH8rcNBcYbMZkgufFm8Rh4UA1QARAQAB tBxBNC5maW5hbmNlIDxtYWlsQGE0LmZpbmFuY2U+iQJOBBMBCgA4FiEEVjInx9ry bD/Vs6aJZGbaIhx91eEFAmJOKd4CGwMFCwkIBwIGFQoJCAsCBBYCAwECHgECF4AA CgkQZGbaIhx91eG7PRAAsigl6glo2EzlDT9GM942BXjXqslAJ0bmI0L98Six93Jy ZIKPseBl53lA1Ek0/AE/3ZbOMJReWVjsuSeuM0i5n7ZwEYVvGptgFw87bVDP3EEd 1KeSm3++1Zh9T+xfRkvHHNR90njwO1xWGGSmnEUQ4ZRB2jiCW6adp/2niOoke3bL 2mqKS873ymu0MKY3DLy/nUfBKI3XSf5uVwr3aUaXGoHxH3Ea2TMkCmFoirJpsDsP xQEcy8q2aiR2vA4oUixxKQOZypLB8kLdnyzCvABn1G8l6clCbSs1hHOhviidgsaN 47vMZFu3aNqUjKpyuqSTpbChNoNtqYXzcinPD7+Htk3e31GbrmDslk1jzVgr0ZD0 XehYl31HxFNaS4t3V54gSovteVekHpY5wW2jHzZs9In5mLZULwXptONIy1WHf2/6 fO9dlnGwD9hcwgb/+D47hs3Kz/XAcCpKM2XLhuQp0WGtRgNo80MGtGEzHrYluIeO MDnGFL6+YpMPKlcDzGM+R0kuDXazzhsO1vX/o8TATZVGudjz3oq6TN3gzgmGXl8K hsIJi3rL1T+gKat3UtbEOMgUmt9cHfQ2/9GjtIaxWnL5xD3oYahM9T9BGG5NUueP YtRoz/ZMEqhiuXSDlIOnXj7q4eYxnvS+b0vvgTg9Vzxu4+cp4jMoVotLJD8TfVi5 Ag0EYk4p3gEQAK7ZCqQDR5duV5xc56Qy3sjoiirA6vdjSsR2ZXVLXq2M0+QRTh7n +EfB9sieYIzHBgZPL0WArab1XQ0BuhSN6hPTtIBSd6NETzOGsdSRdODp6L81+PVs QINpYdYUSzJ0uF3VeeqLwDbStZxm74Q1yEw/YqKyrZ6jG9Y7j5itjHusVe462Cvj iIqonx/3QdYJa8Cw9u9kB233Snh8t8iGv6+2edBXpmD/tTO/yx2uF5nrp1dnPiPZ ZI6GchEqoLOtyt6XhSrxQyTXaCWAvr0tuCLN5peGVY+23cwd4dCvBJYbopOcHKVw buFlzTxF2LfkzTjJ53Eorr03DFTbBuL5MvgflkuHqbPa9lquEfaSe8iDkMWAyP2h uhNkSsaoOmFAzN+xj9shJCvYLp7WSRnPK3S854i8vefESERdFJsxBvEipLdTepuI YikyNXbA+LtfrEbMgy7C+YC58XPomBTO7sPG7dMMmoCLMQrZz1+JRrkIIJlt/5K0 LvMetmJSzNg9s/jmfoMng30pdrmPXKXdGW756P8DdFJlXzvTC63EoID1YCZvAxac MCx3fELtO1u7jlzu7LRfQYCuN24Fpc6fROnB6061ue7otGsrNVGslCaoR9200zd6 WHqTUJUH1OEn7xIUHJan/jixhMO6zEjvP6b/PVvKIX8IxtcDYYRj7Y83ABEBAAGJ AjYEGAEKACAWIQRWMifH2vJsP9WzpolkZtoiHH3V4QUCYk4p3gIbDAAKCRBkZtoi HH3V4frAEACsL/swrDQ6HbTMjy99ousOpxN8HVdZxhVRxq4547tr0Knj6vFCk6i6 k9X6A1o+Ny4HUCpnJyKa2TEGZxsp/9u8En9/U99s2IbInQ3b9gYlfr7XaSb724qU b2Be74WGjRWb0x7QFmo8z4MUfnIeLFiEXVciQHkYwgxvzv86CglAb6xwhScE87Be BN3Qui1BDqNC/TclbAiIr3/UpZKdAAw9fecfuTFNdAC7voSFtJluodpIgJHlH9U1 q0dycMAV9NqlojbcFXJMGKh/FG08vEHSVTynKLHsGWCTtfl2+f4X7+RDDnaZjTVE UtJtIB4M36XtmQNqtMJ3Zooq5ZWys7epUQDyD8b/Byuy9NagzRfje6nFv9UoQETM ie96qL8Q/l/iXfQMu4tGEkJwRNnq1RVTXAIZdu5dDuAgkYbCUlRo15NGn1IsCG9f uVyWtc9yciG2MnbWAW1QvKx4+cbEWDVBJcoRfk4gMWX0s0AdQVdHW7fG2QudNVJg Mk4BRwlKwTlnnOmWmYFz0NpOAm5+j0WUOh5jD802o1T+zELuUy658sBO6/UISPJW mns4R9wVr8DBRAsg/4yS98ADqUKZ+rvki4StmjwYPYNqQeKrxIJ31jbT5FgAeAwg nkJhbiBx8UB9+K0F2hO0J8W8QXifpzdT2yiUaSlg+/2pqgeeDmbqLg== =fMUI -----END PGP PUBLIC KEY BLOCK-----

  • Категория уязвимости
  • Резюме
  • Описание
  • Действия по воспроизведению или проверке концепции
  • Любые соответствующие инструменты, включая используемые версии
  • Журналы инструментов
  • Возможные варианты исправления с вашей точки зрения
Отправить баг

Правила программы

  • Все отчеты об ошибках и багах следует отправлять с формы на сайте.
  • Все отчеты об ошибках и багах оцениваются A4 и выплачиваются в зависимости от серьезности уязвимости.
  • Для получения выплаты за ошибки и баги Вам необходимо иметь аккаунт A4 и привязать адрес электронной почты, который Вы использовали для сообщения об ошибках. Не забудьте указать в отчетах UID Вашего аккаунта A4. Вознаграждения будут поступать в USDT и распределяться на указанный Вами аккаунт.
  • Запрос на выплату в обмен на информацию об уязвимости приведет к немедленной дисквалификации вознаграждений.
  • Пожалуйста, предоставьте как можно более подробный отчет, чтобы мы могли воспроизвести ваши выводы. В противном случае, возможно, Вы упустите награды.
  • За комбинированные уязвимости, которые можно использовать, мы платим только за самый высокий уровень уязвимостей. Для тех же уязвимостей мы заплатим только за первую, которая содержит достаточно подробностей в отчете.
  • A4 оставляет за собой право отменить или изменить правила вознаграждения за ошибки по своему усмотрению.

Исключения из программы

Мы не рассматриваем и не принимаем как уязвимости:

  • Сообщения от сканеров безопасности и других средств автоматического сканирования.
  • Сообщения без демонстрации реального существования уязвимости.
  • Сообщения без указания на достоверно возможные негативные последствия.
  • Сообщения об отсутствии заголовков безопасности.
  • Атаки, требующие MITM или физический доступ к устройству пользователя.
  • Уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ.
  • Уязвимости, которыми можно навредить только самому себе.
  • Уязвимости про которые нам уже известно.

Степень уязвимости

Критическая уязвимость

  • Доступ к нескольким устройствам во внутренней сети.
  • Получение доступа суперадминистратора к основной серверной части, утечку основных данных предприятия и нанесение серьезного ущерба.
  • Переполнение смарт-контрактов и уязвимость условной конкуренции.

Высокая уязвимость

  • Получение доступа к системе (получение оболочки, выполнение команд и т.д.).
  • Внедрение системного SQL (снижение уровня уязвимости бэкэнда, приоритезация отправки пакетов по мере необходимости).
  • Получите несанкционированный доступ к конфиденциальной информации, включая, помимо прочего, прямой доступ к фону управления путем обхода аутентификации, взлома паролей бэкэнда, получения SSRF конфиденциальной информации во внутренней сети и т.д.
  • Произвольное чтение документа.
  • XXE уязвимость, которая может получить доступ к любой информации.
  • Несанкционированная операция включает в себя деньги, обход платежной логики (необходимо успешно использовать).
  • Серьезные логические дефекты конструкции и технологические дефекты. Это включает, помимо прочего, любую уязвимость входа пользователя, уязвимость пакетного изменения пароля учетной записи, логическую уязвимость, затрагивающую основной бизнес предприятия, и т.д., За исключением взрыва кода проверки.
  • Другие уязвимости, влияющие на пользователей в больших масштабах. Это включает, но не ограничивается, XSS хранилища, которое может автоматически распространяться на критические страницы. XSS-хранилище может получить доступ к информации аутентификации администратора и может быть успешно использовано.
  • Утечка большого количества исходного кода.
  • Разрешение контроля дефектов в смарт-контракте.

Средняя уязвимость

  • Уязвимость, которая может затронуть пользователей посредством взаимодействия. Он включает, но не ограничивается, XSS хранилища на общих страницах, CSRF, связанный с основным бизнесом, и т.д.
  • Общая несанкционированная работа. Он включает, помимо прочего, изменение пользовательских данных и выполнение пользовательских операций в обход ограничений.
  • Уязвимости, связанные с отказом в обслуживании. Он включает, но не ограничивается, уязвимости удаленного отказа в обслуживании, вызванные отказом в обслуживании веб-приложений.
  • Уязвимости, вызванные успешным взрывом с помощью чувствительной к системе операции, такой как доступ к логину и паролю учетной записи и т.д., Из-за логических дефектов кода проверки.
  • Утечка локально хранимой конфиденциальной информации о ключе аутентификации, которую необходимо эффективно использовать.

Низкая уязвимость

  • Локальные уязвимости отказа в обслуживании. Он включает, помимо прочего, отказ в обслуживании локального клиента (анализ форматов файлов, сбои, генерируемые сетевыми протоколами), проблемы, вызванные раскрытием разрешений компонентов Android, общий доступ к приложениям и т.д.
  • Утечка общей информации. Это включает, помимо прочего, обход веб-пути, обход системного пути, просмотр каталогов и т.д.
  • Отраженные XSS атаки (включая DOM XSS / Flash XSS).
  • Общий CSRF.
  • Уязвимость пропуска URL.
  • SMS-бомбы, почтовые бомбы (каждая система принимает только один тип этой уязвимости).
  • Невозможно доказать, что другие менее опасные уязвимости опасны (например, уязвимость CORS, которая не может получить доступ к конфиденциальной информации).
  • Нет возвращаемого значения и нет глубокого использования успешного SSRF.