需先确认项目是否开放漏洞赏金计划,再完成注册授权、限定测试边界、规范提交报告,最后响应审核并领取奖金。
币圈加密货币主流交易平台官网注册地址推荐:
Binance币安:
欧易OKX:
一、确认项目是否开放漏洞赏金计划
需访问目标项目的官方安全页面或合作平台主页,核实其是否正式发布漏洞赏金计划(Bug Bounty Program)及当前是否处于有效运行状态。部分项目仅设漏洞披露计划(VDP),不提供现金奖励。
1、打开浏览器,访问项目官网域名后缀为 /security 或 /bug-bounty 的路径。
2、在HackerOne、Bugcrowd、补天平台等第三方漏洞平台搜索该项目名称,查看其公开项目页的“Status”字段是否显示为Active。
3、检查项目页中是否有明确标注的Scope(测试范围)列表,未列出的子域名或功能模块不可测试。
二、完成注册与授权流程
参与前必须完成平台账户注册并接受法律协议,确保所有测试行为具备书面授权,避免越权操作引发法律风险。
1、在对应漏洞平台(如HackerOne)使用真实邮箱注册账户,并完成双因素认证。
2、进入目标项目页面,点击“Join Program”按钮,阅读并勾选《Authorized Security Research Policy》。
3、提交简要背景说明,包括过往提交记录链接或GitHub安全研究仓库地址,部分高权限项目会人工审核准入资格。
三、严格限定测试边界与方法
所有探测行为必须严格遵循项目公布的Scope文档,禁止对未授权资产发起扫描、爆破、重放或拒绝服务类操作。
1、仅对Scope中明确列出的域名(如 app.example.com)、IP段(如 192.0.2.0/24)及指定APP版本进行测试。
2、禁用自动化扫描器对登录接口、密码找回流程、短信发送接口发起高频请求。
3、发现疑似漏洞后,须使用最小化PoC验证,例如仅读取自身账户数据,不得尝试横向越权访问他人信息。
四、规范提交漏洞报告
报告需包含可复现步骤、原始请求/响应截图、环境说明及修复建议,缺失关键要素将导致审核退回。
1、使用英文撰写报告标题,格式为“[Severity] - [Vulnerability Type] in [Component]”,例如“High - IDOR in /api/v1/user/profile endpoint”。
2、在报告正文首段注明测试时间、所用工具版本(如Burp Suite Professional v2025.11)、目标URL及账号权限等级。
3、附上带时间戳的请求抓包截图,响应体中敏感字段须用红色方框高亮标识,并标注HTTP状态码与返回长度。
五、响应审核与奖金发放
项目方或平台运营团队将在收到报告后启动评估,确认有效性与优先级,并按约定方式发放奖励。
1、登录漏洞平台账户,定期查看Inbox中项目管理员发出的消息,及时补充缺失的复现视频或日志片段。
2、审核通过后,系统将生成含唯一编号的奖励确认函,其中明确标注支付币种(如USDT或USD)及链上地址校验要求。
3、奖金发放前需完成KYC身份核验,上传护照信息页与手持证件自拍照,文件名须含报告编号前缀。
