本体与慢雾科技发布安全漏洞与威胁情报赏金计划

早在5月，致力于区块链生态安全的慢雾科技加入本体“共建者计划”，为本体提供区块链整体安全审计服务，并于6月发布《本体北斗共识集群安全执行指南》，持续为本体节点安全保驾护航。

今天，我们与慢雾科技正式发布“安全漏洞与威胁情报赏金计划”，携手构建本体更加安全的网络环境。业务范围、处理流程、漏洞评级及奖励标准等细则可在下方查看。

业务范围

1. Ontology Blockchain

GitHub 地址:https://github.com/ontio

General Security

General design or implementation flaws

Network Security

Message serialization/deserialization security

Network connection management security

Message buffer management security

Protocol Security

Conceptual or implementation security issues in the following Ontology protocols:

VBFT Consensus Protocol Security

Block Propagation Protocol Security

Transaction Propagation Protocol Security

P2P Communication Protocol Security

NVM Smart Contract Virtual Machine Security

Cryptographic Primitives Security

Incorrect implementation or usage of the following cryptographic algorithms:

ECDSA (encryption, decryption, signature, verify)

SM2

SM3

SM4

AES

VRF

Smart Contract Virtual Machine Security

NVM implementation flaws

Transaction execution

Ledger Access Control

Transaction result notification security

System Smart Contract Security

ONT management system contract security

ONG management system contract security

ONTID management system contract security

Governance system contract security

Authentication system contract security

2. Ontology 客户端 App

ONTO App（https://onto.app）

OWallet（https://github.com/ontio/OWallet/releases）

处理流程

报告阶段

报告者访问「慢雾区」网站，进入「赏金漏洞提交」页面

URL：https://slowmist.io/bug-bounty.html

提交威胁情报(状态：待审核)

处理阶段

1. 一个工作日内，慢雾安全团队会确认「慢雾区」收到的威胁情报报告并跟进开始评估问题， 同时将情报反馈给 本体对接人（状态：审核中）

2. 三个工作日内，本体技术团队处理问题、给出结论并计分（状态：已确认/已忽略）。必要时会与报告者沟通确认，请报告者予以协助

修复阶段

1. 本体业务部门修复威胁情报中反馈的安全问题并安排更更新上线（状态：已修复）。修复时间根据问题的严重程度及修复难度而定，一般来说，严重和高危问题 24 小时内，中危问题三个工作日内，低危问题七个工作日内。客户端安全问题受版本发布限制，修复时间根据实际情况确定

2. 报告者复查安全问题是否修复（状态：已复查/复查异议）

3. 报告者确认安全问题已修复后，本体技术团队告知慢雾安全团队处理结论和漏洞得分，并与慢雾安全团队一起发放奖励（状态：已结束）

漏洞评级及奖励标准

*备注：最终发放的奖励取决于漏洞严重程度和漏洞真实影响，表格中的数值为各等级最高奖励。

严重漏洞

严重的漏洞是指，发生在核心系统业务系统（核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统），可造成大面积影响的，获取大量（依据实际情况酌情限定）业务系统控制权限，获取核心系统管理人员权限并且可控制核心系统。

包括但不限于：

内网多台机器控制

核心后台超级管理员权限获取且造成大范围企业核心数据泄露，可造成巨大影响

智能合约溢出、条件竞争漏洞

高危漏洞

系统的权限获得（getshell、命令执行等）

系统的 SQL 注入（后台漏洞降级，打包提交酌情提升）

敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的 SSRF 等）

任意⽂件读取

可获取任意信息的 XXE 漏洞

涉及金钱的越权操作、支付逻辑绕过（需最终利用成功）

严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意用户登录漏洞、批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等，验证码爆破除外

大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等

大量源代码泄露

智能合约权限控制缺陷

中危漏洞

需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS，涉及核心业务的 CSRF 等

普通越权操作。包括但不限于绕过限制修改用户资料、执行用户操作等

拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等

由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作可被爆破成功造成的漏洞

本地保存的敏感认证密钥信息泄露，需能做出有效利用

低危漏洞

本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃），由 Android 组件权限暴露、普通应用权限引起的问题等

普通信息泄露。包括但不限于 Web 路径遍历、系统路径遍历、目录浏览等

反射型 XSS（包括 DOM XSS / Flash XSS）

普通 CSRF

URL 跳转漏洞

短信炸弹、邮件炸弹（每个系统只收一个此类型漏洞）

其他危害较低、不能证明危害的漏洞（如无法获取到敏感信息的 CORS 漏洞）

无回显的且没有深入利用成功的 SSRF