概述亲爱的用户，为了能更加充分为用户提供安全的交易环境，我们在此发动全球顶级技术社区的力量最大限度的加强www.kucoin.com的安全系统，我们于2022年8月3日特此建立kucoin.com的Bug与安全建议反馈奖励机制，激励任何有能力的资深安全人员，为kucoin.com提供专业安全建议和漏洞分析.奖励规则bug和漏洞反馈奖励分为四个等级，每个等级分别对应如下奖励，且奖励会以USD的形式计算:严重3000 - 5000 USD高危900 - 2000 USD中危300 - 500 USD低危50 - 150 USD如果您的漏洞提交被我们接受，请提供以下任意一项来获得奖励：通过表单提交的漏洞请提供KCC的钱包地址，我们将向您支付KCS..通过Hacken提交的漏洞，我们会向您支付USDT..请注意，漏洞的威胁等级由KuCoin安全工作人员确认，KuCoin自行决定漏洞报告的问题是否满足奖励标准.漏洞范围以下为适用范围内的业务名称：TargetType.kucoin.comWebKucoin Mobile Application for AndroidAndroidKucoin Mobile Application for iOSiOS以下超出范围的业务名称：TargetTypecert.kucoin.comWebzendeskWebSandBoxWebKucoin storeWebApi docsWebintro.kucoin.comWebpassport.kucoin.comWebsandbox-.kucoin.comWeb-sdb.kucoin.comWeb-sandbox.kucoin.comWeb评分规则以下为我们可以接受的漏洞类别：Web端.可能会造成用户资产损失的业务逻辑问题.操纵支付.远程代码执行.敏感信息泄漏.Owasp的严重问题如：XSS、CSRF、SQL、SSRF、IDOR等.其他有潜在损失的漏洞.移动端.可以访问到外部不安全的链接的函数.可以调用Jsbridge/javascritptinterface来攻击用户的问题..其他有潜在损失的漏洞.以下为超出接收范围的安全问题，不在此次奖励之列.Web端.没有实际证明的理论漏洞.邮箱验证码缺陷，过期的密码重置链接和密码复杂性策略.无效或者缺失发件人信息的记录.安全影响较小的点击劫持以及UI重定向.第三方应用程序的漏洞.少于30天的Oday漏洞.社工、钓鱼、和其他物理欺骗行为.拒绝服务攻击DOS.邮件，手机号信息枚举.安全影响较小的信息泄漏.内部已知问题，重复提交或者已经公开的安全问题.物理攻击.个人电脑的XSS.只能在旧版本的浏览器或者平台上利用的漏洞.自动填写web表单的漏洞.使用已知易受攻击的代码库而缺少实际证明.Cookie中缺乏安全标志.和不安全的SSL/TLS套接字或者协议版本相关的问题.内容欺骗.缓存控制相关问题.内部IP或者域名泄漏.无法直接利用的安全标头缺失问题.可忽略影响的CSRF问题.无安全影响的问题.不属于Kucoin的资产.破坏我们业务正常运行的行为.安装路径权限问题.自动化工具或者扫描的报告.无效或者过期页面的链接，只有当你能证明当前提交的链接还在正常使用我们才会接收，如果是通过过往公告或者博客中获取的存在问题的功能链接我们将拒绝接受..移动端.需要Root/JailBreak权限的漏洞.需要对用户设备进行操作的物理漏洞.需要大量用户交互的漏洞.在设备上暴露非敏感信息.报告中只对二进制文件进行静态分析但缺少影戏业务逻辑POC.缺少模糊测试、二进制保护，Root检测.绕过设备的证书检测.缺少Exp 例如PIE、ARC或者堆栈利用.受TLS保护的URLs或Request中的敏感信息泄漏.二进制文件中的路径泄漏.APK，IPA中存在的OAuth和 APP密钥硬编码.自动化工具的扫描报告.敏感信息在设备中以明文形式保存造成的信息泄漏.通过将格式不正确的URL Schemes或组件发送给外部Activity/Service /Broadcast等接收器而导致的崩溃.通过剪切板泄漏的共享链接.没有安全影响的API密钥泄漏，例如GooleMap API密钥等.在超出接收范围的Web漏洞中提到的其他内容.报告评估标准P1 3000 - 5000 USD：可能破坏任何用户或者业务运营商资金安全问题的漏洞，包括：1. 拥有直接访问系统或核心业务的权限.2. 存在潜在的重大损害.P2 900 - 2000 USD：与P1具有类似影响的漏洞，但取决于漏洞利用的前置条件以及恶意利用后会造成的影响，包括：1. 未授权访问.2. 严重的SQL注入.3. 高风险的信息泄漏.P3 300 - 500 USD：对部分用户造成影响、访问和修改用户信息等.P4 50 - 150 USD：1. 短信轰炸 2. 非敏感信息泄漏.反馈渠道您可以通过以下两个渠道向我们反馈:通过安全表单提供相应的问题，点击查看.通过登陆Hacken向我们提交安全报告，链接为:https://hackenproof.com/kucoin/kucoin.活动声明严禁以渗透测试为借口，利用漏洞以及威胁情报损坏用户利益，影响业务正常运作，盗取用户数据等行为..严禁通过使用发现的bug或漏洞对我们数据库进行修改或者数据销毁..严禁使用扫描工具进行自动化测试..严禁在您拥有的帐户以外的帐户上进行测试..以上最终解释权归KuCoin所有..关于我们KuCoin 于2017年9月成立，是一个全球加密货币交易所.作为一个注重包容性和社区行动范围的面向用户的平台，我们提供超过700种数字资产，目前为其在207个国家和地区的1800万用户提供现货交易、保证金交易、 P2P 法定交易、期货交易、股权和贷款.