BUGX.IO Vulnerability Review Standard

Author : BUGX.IO 审核团队

Version : 1.0

Update : 20181122

目前，BUGX.IO 审核奖励计算逐步实现自动，使用程序式计算，从而减少人为主观因素的影响。以下为我们的奖励参考维度，目前状态为开源，力求公正，与白帽子共同进步。

后续我们会开源审核标准的其它文档。

BUGX.IO漏洞审核奖励表

厂商信息(排名、级别等)

厂商类别分为A、B、C、D、E五个级别，其中

• A、B、C厂商需要：

  1. 收录交易所列表中
  2. 24h交易量满足最低值,$10,000

• D类厂商

  1. 在非小号上搜不到
  2. 不在收录范围内
  3. 交易量低于$10,000

1. D类厂商将选择性接收
2. 每天18点前的漏洞日清，18点后的漏洞纳入第二天审核，交易所厂商信息以第二天的为准。（即，1号18时前的漏洞以1号的厂商信息为标准，1号18时至2号18时漏洞，以2号的厂商信息为标准。

厂商包括：交易所、公链、代币、数字钱包、矿池、智能合约等直接相关的厂商 其余不在该范围内的厂商算作，区块链非直接相关厂商

注：

1. 公链漏洞：指底层区块链技术的漏洞，如共识算法、P2P网络等。
2. 代币漏洞：指的是ICO或token存在一定市值的合约的漏洞。
3. 数字钱包漏洞：钱包客户端指代的是，安卓钱包、IOS钱包、Web钱包、硬件钱包等。
4. 其他相关厂商包括，资讯类网站（媒体类网站，论坛网站）、矿机售卖网站、厂商核心产品的宣传网站等

厂商排位指，该厂商在其所在类中的排名位置。举例，假设某类厂商有100所，其中一个厂商在该类厂商中排23名，那么厂商排位为1 - 23/100

漏洞分数用来衡量一个漏洞的危害程度：漏洞分数 = f(呈现危害, 利用难度, 漏洞威胁)

即白帽子的POC所体现出来的危害级别，有严重、高危, 中危, 低危四个级别

利用难度 = g(攻击途径, 攻击复杂度)

1. 攻击途径，包括远程攻击、需绕过的远程攻击、本地攻击
2. 攻击复杂度，包括容易，中等，困难，该维度主要用于衡量攻击的成本，需要的专业技术水平等

漏洞威胁指，该漏洞的可能利用手段。该维度主要用来衡量一个漏洞可能存在的危害、影响。 例如，xss存在用户身份劫持、钓鱼、控制用户浏览器行为、蠕虫等。因此，漏洞的利用手段越多，该维度分值越高。 如果，白帽子的POC中存在我们暂未收录的可能攻击手段，则该白帽子该漏洞的漏洞威胁为满分

最终奖励 = h(厂商排位, 最高奖励, 漏洞分数) 其中最终奖励 ≥ (λ * 最高奖励)，λ的值与厂商的级别有关，越高级别的厂商λ越大