# EXBIT Bug Bounty 计划

我们很高兴宣布推出 EXBIT Bug Bounty（漏洞赏金）计划，并诚挚邀请全球安全研究人员及白帽黑客参与漏洞挖掘与平台安全共建。\
如果您在测试过程中发现任何潜在安全漏洞，请将完整的漏洞信息提交至官方邮箱。EXBIT安全团队将在收到报告后进行审核与验证，并在确认漏洞真实有效后与您取得联系，并发放相应奖励。\
漏洞提交邮箱：（以 EXBIT官方公布为准）\
您的每一项安全贡献，对 EXBIT平台都具有重要意义。\
一、Web Bug Bounty 计划\
1、测试范围\
本计划适用于以下系统范围：\
EXBIT官方网站\
EXBIT Web 交易系统\
EXBIT账户管理系统\
2、漏洞奖励标准\
漏洞奖励金额将根据以下因素综合评估确定：\
漏洞影响范围\
漏洞利用难度\
实际安全风险程度\
最终奖励金额以 EXBIT安全团队评估结果为准。\
二、Web 漏洞等级定义\
1、严重漏洞（Critical）\
严重漏洞通常会影响 EXBIT核心业务系统或关键基础设施，可能造成重大资产损失或系统安全风险。\
可能结果包括：\
1、未经授权控制核心业务系统\
2、获取系统最高管理权限\
3、完全接管关键业务模块\
示例包括：\
1、控制内部网络中的多个关键设备\
2、获取后端超级管理员权限，导致核心数据泄露\
3、智能合约溢出、竞争条件等严重漏洞\
2、高风险漏洞（High）\
高风险漏洞可直接影响系统安全、用户资产或业务逻辑的完整性。\
包括但不限于：\
1、系统权限获取（如 GetShell、命令执行等）\
2、SQL 注入漏洞\
3、身份认证绕过、弱密码或 SSRF 问题\
4、任意文件读取或 XXE 信息访问\
5、未经授权的交易、支付或资金操作\
6、严重业务逻辑缺陷（如任意用户登录、批量修改密码）\
7、大范围影响的存储型 XSS\
8、源代码大规模泄露\
9、智能合约权限控制缺陷\
3、中风险漏洞（Medium）\
中风险漏洞通常需要特定条件或用户交互才能触发，可能造成一定程度的安全影响。\
包括但不限于：\
1、需要用户交互的漏洞（如存储型 XSS、CSRF）\
2、并行授权缺陷（绕过用户数据修改限制）\
3、拒绝服务攻击（DoS）\
4、验证码逻辑缺陷导致暴力破解\
5、本地或配置问题导致的敏感认证密钥泄露\
4、低风险漏洞（Low）\
低风险漏洞影响较小，或难以直接证明会造成严重安全后果。\
包括但不限于：\
1、本地 DoS（客户端崩溃）\
2、一般信息泄露（路径遍历、目录浏览）\
3、DOM / 反射型 XSS\
4、普通 CSRF\
5、URL 重定向漏洞\
6、短信 / 邮件轰炸（同类问题每系统仅计一次）\
7、其他无法直接证明安全影响的漏洞\
三、不接受的漏洞类型\
以下问题不纳入 EXBIT Bug Bounty 计划范围：\
1、邮件伪造\
2、用户枚举\
3、Self-XSS / HTML 注入\
4、缺少 CSP / SRI 等安全策略\
5、非敏感操作的 CSRF\
6、Android 应用配置问题（如 android:allowBackup="true"）\
7、仅影响性能的问题（如图片缩放导致请求缓慢）\
8、第三方组件版本信息暴露（如 Nginx 版本）\
9、无安全影响的功能缺陷\
10、针对 EXBIT 员工的社会工程攻击\
四、智能合约漏洞等级定义\
1、严重漏洞（Critical）\
操纵治理或投票结果\
直接窃取用户资金（不含未申领收益）\
永久冻结用户资金\
矿工可提取价值（MEV）\
协议整体资不抵债\
2、高风险漏洞（High）\
窃取或冻结未申领收益 / 版税\
暂时性冻结用户资金\
3、中风险漏洞（Medium）\
合约因代币不足而无法正常运行\
利用区块拥堵牟利\
无直接盈利动机的破坏性行为\
窃取 Gas 或无限消耗 Gas\
4、低风险漏洞（Low）\
未造成直接资金损失但影响合约承诺\
信息类问题（如预言机错误、治理攻击、流动性风险、Sybil 攻击等）\
最佳实践与安全加固建议\
五、禁止行为\
为保障平台及用户安全，在测试过程中严禁以下行为：\
社会工程或钓鱼攻击\
公开、传播或售卖漏洞细节\
进行破坏性测试（仅允许 PoC 验证）\
使用未授权扫描器进行大规模扫描\
修改网页内容、弹窗轰炸或窃取 Cookie\
使用高侵入性或破坏性 Payload\
如测试过程中产生任何意外影响，请立即向 EX 官方报告。\
违反上述规则的行为，可能导致奖励取消，甚至承担相应法律责任。\
六、结语\
感谢您为 EXBIT平台安全所做出的贡献。\
我们期待与全球安全研究者携手合作，共同构建一个更加安全、透明、可信赖的数字资产生态系统。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://exbit-1.gitbook.io/exbit-docs/zhong-wen/exbit-bang-zhu-zhong-xin/fu-wu/exbit-bug-bounty-ji-hua.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.