OKEx漏洞提交规则详解与安全贡献指南

Posted by 链汇情报站 on September 6, 2025

欢迎来到OKEx安全应急响应中心(SRC)的规则说明页面。本文旨在详细介绍漏洞提交的流程、等级划分标准、奖励机制以及注意事项,帮助安全研究人员(白帽子)更高效地参与平台安全建设,共同维护数字资产交易环境的安全与稳定。

漏洞提交方式与基本原则

我们强烈推荐通过OKEx安全应急响应中心在线系统提交漏洞报告。在漏洞修复完成前,请勿公开或传播漏洞信息,以避免潜在风险。

每一份漏洞报告都会由专业安全团队及时评估、跟进并反馈处理进展。我们承诺对有效漏洞提交者给予相应奖励,以感谢您为平台安全做出的贡献。

漏洞等级划分与评定标准

根据漏洞的实际危害程度和影响范围,我们将漏洞分为四个等级:严重、高危、中危和低危。具体评定标准如下。

严重漏洞

指那些对核心业务系统造成重大威胁的漏洞,通常涉及大规模权限获取或数据泄露:

  • 获取核心控制系统、域控、业务分发系统或堡垒机等关键系统的管理权限。
  • 控制内网多台机器,造成大范围企业核心数据泄露。
  • 对平台运营造成巨大影响的极端情况。

高危漏洞

这类漏洞能够直接获取系统权限或导致严重信息泄露:

  • 系统权限获取(如getshell、命令执行)。
  • 系统SQL注入(后台漏洞可能降级,但打包提交可能提升评级)。
  • 敏感信息越权访问(如绕过认证直接访问管理后台、重要后台弱密码)。
  • 可获取内网敏感信息的SSRF漏洞。
  • 任意文件读取、可获取任意信息的XXE漏洞。
  • 涉及资金的越权操作、支付逻辑绕过(需最终利用成功)。
  • 严重逻辑缺陷(如任意用户登录、批量修改账号密码)。
  • 大范围影响用户的存储型XSS(可自动传播或获取管理员信息)。
  • 大量源代码泄露。

中危漏洞

需要交互才能影响用户的漏洞,或具有一定危害的越权操作:

  • 一般页面的存储型XSS。
  • 涉及核心业务的CSRF。
  • 越权修改用户资料或执行用户操作。
  • 验证码逻辑缺陷导致的任意账户登录或密码找回。
  • 本地保存的敏感认证密钥信息泄露(需能有效利用)。

低危漏洞

危害较低或难以证明实际危害的漏洞:

  • 本地拒绝服务漏洞(如客户端解析文件格式或网络协议产生的崩溃)。
  • 普通信息泄露(如Web路径遍历、系统路径遍历、目录浏览)。
  • 反射型XSS(包括DOM XSS/Flash XSS)。
  • 普通CSRF、URL跳转漏洞、短信炸弹。
  • 其他危害较低、无法证明危害的漏洞(如无敏感信息泄露的CORS漏洞)。
  • 无回显且未深入利用成功的SSRF。

暂不收取的漏洞类型

以下类型漏洞目前不在收取范围内:

  • SPF邮件伪造漏洞。
  • 接口穷举爆破已注册用户名类漏洞。
  • self-xss/post型反射XSS。
  • 邮件炸弹、非敏感操作的CSRF问题。
  • 其他危险过低的漏洞。

漏洞提交规范与评分标准

为确保漏洞报告的有效性,请提交以下信息:

  • 漏洞请求包或URL(文字形式,非截图)。
  • 操作步骤(如:设置->个人信息设置->图像上传处存在问题)。
  • 漏洞payload。
  • 漏洞危害证明(用于评级)。

通用评分原则

  • 同一漏洞源产生的多个漏洞计为一次报告(如同一接口引起的多个安全漏洞)。
  • 同一漏洞,首位报告者获得奖励;后续报告者若利用方式造成影响差距过大,可能会分配部分奖金。
  • 严禁公开已提交的漏洞细节;网上已公开的漏洞不适用本规则。

特殊情况处理

  • 弱口令问题:同一系统不同弱口令合并处理;默认初始密码视为一个漏洞;非重点系统仅确认第一个弱口令。
  • 前后关系漏洞:如通过弱口令进入后台后发现SQL注入,合并处理并可能提高等级。故意拆分漏洞可能被视为恶意行为。
  • 信息泄露类漏洞:根据内容敏感程度评级;单独的路径泄露或phpinfo信息泄露通常忽略。
  • 低版本CMS漏洞:每个漏洞类型只确认第一个提交的安全问题。
  • 撞库与爆破类漏洞:需提供成功案例证明;后台爆破仅收取成功登陆的案例。

👉 获取完整漏洞提交工具与指南

奖励发放与争议解决

一旦漏洞确认并通过审核,客服人员会与白帽子确认审核详情。待漏洞修复完成后,奖励将在1-2个工作日内发放至您的OKEx账户。

若对流程处理、漏洞定级或评分有异议,请联系在线工作人员及时沟通。

常见问题

什么是OKEx安全应急响应中心(SRC)?

OKEx SRC是平台与安全研究人员合作的桥梁,旨在共同维护数字货币交易环境的安全。我们欢迎用户和白帽子提交主站或APP的安全漏洞,以帮助提升产品和业务的安全性。

漏洞奖励如何评定?

奖励根据漏洞等级评定,分为严重、高危、中危和低危四个级别。评定综合考虑漏洞的危害程度、影响范围和实际利用可能性。

同一漏洞多人提交如何处理?

同一漏洞通常只奖励首位报告者。但如果后续报告者提出的利用方式造成影响显著更大,可能会从第二个漏洞中分配部分奖金给首位提交者。

哪些测试行为是被禁止的?

严禁进行可能引起业务异常运行的测试(如IIS拒绝服务或slow_http_dos等)。任何以测试为借口,实际损害用户利益、影响业务运作或盗取用户数据的行为都将承担法律责任。

信息泄露类漏洞如何评级?

这类漏洞根据泄露内容的敏感程度和可利用性评级。能深入利用造成很大危害的评为高危或严重;线上核心应用服务配置泄露一般评为中危;不能有效利用且非核心业务的评为低危。

奖励发放需要多长时间?

漏洞确认后,待修复完成,奖励通常在1-2个工作日内发放到您的OKEx账户。

我们坚信,通过平台与安全社区的共同努力,能够为用户提供更加稳定、可靠的交易环境。感谢每一位为网络安全贡献力量的研究人员。

CATALOG