# Program YUBIT Bug Bounty Z radością ogłaszamy uruchomienie **Programu YUBIT Bug Bounty** i serdecznie zachęcamy badaczy bezpieczeństwa oraz członków społeczności do udziału poprzez zgłaszanie luk w zabezpieczeniach. 📩 Prosimy przesyłać zgłoszenia błędów na adres: ****\ Nasz zespół ds. bezpieczeństwa niezwłocznie przeanalizuje i zweryfikuje zgłoszenia oraz skontaktuje się z Tobą po potwierdzeniu.\ Twoje wkłady w bezpieczeństwo są bardzo cenione! *** ### 1. Web Bug Bounty **Zakres testów:** * [www.yubit.com](https://www.yubit.com) **Zakres nagród:** * Niskie ryzyko: **50–100 USD** * Średnie ryzyko: **100–500 USD** * Wysokie ryzyko: **500–1 000 USD** * Krytyczne: **1 000–5 000 USD** *** ### 2. Definicje poziomów krytyczności podatności webowych #### (1) Krytyczne podatności Wpływają na kluczowe systemy biznesowe (systemy sterowania, kontrolery domeny, systemy dystrybucji, bastion hosts itp.) i mogą powodować poważne szkody.\ **Możliwe skutki:** * Nieautoryzowana kontrola nad systemami biznesowymi * Dostęp do uprawnień administratora systemów podstawowych * Pełna kontrola nad podstawową infrastrukturą\ **Przykłady:** * Kontrola wielu urządzeń w sieci wewnętrznej * Dostęp do uprawnień superadministratora zaplecza, prowadzący do dużych wycieków danych * Wykorzystanie przepełnienia lub warunku wyścigu w inteligentnym kontrakcie #### (2) Podatności wysokiego ryzyka * Escalacja uprawnień (GetShell, wykonanie poleceń) * SQL injection * Obejście uwierzytelniania, słabe hasła, SSRF, ujawnienie wrażliwych danych * Dowolny odczyt plików / XXE * Nieautoryzowane transakcje lub obejście logiki płatności * Poważne błędy logiczne (np. logowanie jako dowolny użytkownik, masowe resetowanie haseł) * Stored XSS (szeroki wpływ) * Wycieki kodu źródłowego na dużą skalę * Błędne konfiguracje uprawnień w inteligentnych kontraktach #### (3) Podatności średniego ryzyka * Problemy wymagające interakcji użytkownika (np. stored XSS, CSRF) * Poziome/równoległe obejście autoryzacji * Odmowa usługi (DoS) * Błędy CAPTCHA prowadzące do ataków brute force * Ujawnienie lokalnych poufnych kluczy #### (4) Podatności niskiego ryzyka * Lokalny DoS (awaria klienta) * Drobne ujawnienie informacji (path traversal, wylistowanie katalogów) * Reflected/DOM XSS * Podstawowy CSRF * Problemy z przekierowaniem URL * Spam SMS/e-mail (ograniczony w danym systemie) * Inne problemy o niskim wpływie lub niepotwierdzone *** ### 3. Nieakceptowane podatności * Podszywanie się pod e-mail * Wyliczanie użytkowników * Self-XSS / wstrzyknięcie HTML * Brak CSP / SRI * Niewrażliwy CSRF * Problemy z konfiguracją Androida (np. `android:allowBackup="true"`) * Problemy wyłącznie wydajnościowe (np. wolne renderowanie obrazów) * Ujawnienie wersji komponentów firm trzecich (np. wersji Nginx) * Niefunkcjonalne błędy bez wpływu na bezpieczeństwo * Inżynieria społeczna wobec pracowników YUBIT *** ### 4. Definicje podatności smart kontraktów #### (1) Krytyczne * Manipulacja głosowaniem w zarządzaniu * Bezpośrednia kradzież środków użytkowników (z wyłączeniem nieodebranych nagród) * Trwałe zamrożenie środków * Wykorzystanie wartości możliwej do wydobycia przez górników (MEV) * Niewypłacalność protokołu #### (2) Wysokie ryzyko * Kradzież lub zamrożenie nieodebranych nagród/royalties * Tymczasowe zamrożenie środków #### (3) Średnie ryzyko * Zatrzymanie kontraktu z powodu wyczerpania tokenów * Wykorzystanie przeciążenia sieci dla zysku * Kradzież gazu lub wymuszone nadmierne zużycie gazu * Uciążliwy, nieprzynoszący zysku sabotaż #### (4) Niskie ryzyko * Brak bezpośredniej utraty środków, ale szkoda dla zaufania/zobowiązań * Ryzyka informacyjne (błędy wyroczni, ataki na zarządzanie, ryzyka płynności, ataki Sybil itp.) * Rekomendacje najlepszych praktyk *** ### 5. Zabronione działania * Inżynieria społeczna lub ataki phishingowe * Publiczne ujawnianie lub rozpowszechnianie szczegółów podatności * Testy destrukcyjne (dozwolony jest wyłącznie Proof of Concept) * Nieautoryzowane skanowanie na dużą skalę * Modyfikowanie stron internetowych, floodowanie wyskakującymi oknami, kradzież plików cookie lub natrętne payloady * Wszelkie niezgłoszone szkody powstałe podczas testów ⚠️ Nieprzestrzeganie zasad może skutkować **konsekwencjami prawnymi**. *** ### 6. Nota końcowa Dziękujemy za wkład w bezpieczeństwo platformy YUBIT.\ Razem możemy zbudować **bezpieczniejszy i bardziej przejrzysty ekosystem krypto**. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://yubit.gitbook.io/yubit/pl/inna-pomoc/program-yubit-bug-bounty.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.