Qtum量子链漏洞赏金计划正式开启




本次Qtum量子链赏金计划为了更好的借助社区的力量参与到QTUM主网及周边应用的开发建设中,让QTUM持续地保持安全、高效的运行,同时能满足更多用户的需求。


Bug分级与奖励体系


1、如果已经有类似的Issue或者Qtum团队已经知道并在解决该问题的情况将不适用于该赏金计划。

2、如果在解决前将问题公开,并造成危害的将不会获得赏金。

3、修复时,请fork代码到自己的仓库中进行修复,然后提交pull request在Qtum成员review之后正式合入主干。

4、Qtum团队成员是受雇于Qtum基金会,Qtum成员直接或间接的参与Bug修复的情况将不会获得赏金。

5、赏金计划以解决Qtum核心产品的技术,提升产品健壮性,Qtum网站、论坛、组织架构等不在赏金计划之列。

6、赏金计划的奖金与众多因素有关、工作量、影响范围、严重程度等,赏金计划的具体赏金数额以QTUM安全团队的结论为准且对于赏金计划QTUM安全团队有最终解释权。


范围


请在以下Github开源项目中查找漏洞:https://github.com/qtumproject/qtum


这里的范围只是我们现在关注的重点产品,如果有未被列在上面,但是同样是被验证的软件漏洞,我们也欢迎通过漏洞上报的方式进行上报和赏金申请,Qtum团队将会对此作出评定并及时给予反馈。


这些漏洞可能会造成以下问题:

  • 损失、盗取用户资产

  • 拒绝服务攻击

  • 引起共识机制的失败

  • 无法控制的通货膨胀

  • 允许未经授权的访问


漏洞等级分类


漏洞的等级与分类我们会参照OWASP 模型,我们将漏洞氛围严重、高危、中危、低危、改进,具体定义方法请参考:http://www.owasp.org.cn/owasp-project/fengxian


需要注意的是:

1、 对于在比特币、以太坊等网络上已上报的问题,赏金会相应的折算。

2、 以上奖励数额为该级别漏洞的最高奖励数额,具体的奖励发放数额会由QTUM安全团队决定。


对于奖励的发放我们还会参照其中几项来进行评审,如仅上报漏洞者,只需要关注上报材料一项。


上报材料(15%):完整填写上报材料,具体请参考申报模板link,所有上报材料均为英文版本。

代码修复(40%):完成代码修复,并不引入新的问题,如果有新的问题被引入,需要在同一次提交中解决该问题。

自动化测试脚本覆盖或手动测试方法说明(15%):自动化测试脚本对代码的持续集成、快速迭代下的质量控制有极其重要的作用,所以自动测试脚本的完善会作为一项重要的考核指标:

提供自动化测试脚本

100%

提供手动测试说明

60%


修复时间与效率(20%):修复时间指Issue上报被确认后到修复代码被review过后合到代码库间的时间,该时间会在Issue上报后QTUM安全团队确认漏洞的反馈邮件中明确期望修复时间,该时间会与开发者协商。

该部分奖励说明:

期望时间内完成

100%

超过期望时间50%内70%

70%

超过期望时间50%外

50%

修复思路及方法介绍与文档完善(15%):对于修复完的漏洞,希望完成技术材料的整理与文档的提交,具体请参见:Bug修复后提交材料模板


漏洞的上报与修复流程


报告阶段

报告者访问「Bug上报」页面(URL:https://qtum.org/zh/developer/long-term/bugs) 提交漏洞详情(状态:待审核)


处理阶段

1.一个工作日内,QTUM安全团队会确认收到的漏洞报告并跟进开始评估问题, 同时将情报反馈给上报者(状态:审核中)


2. 三个工作日内,QTUM技术团队处理问题、给出结论与期望完成时间(状态:已确认/已忽略)。必要时会与报告者沟通确认,请报告者予以协助,评估完成后会将评估结果告知开发者。


修复阶段

1. 提交者着手修复该安全漏洞(状态:修复中)

2. 对于修复完成的问题,提交者可以将状态改为(状态:待复查)修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高危问题 24 小时内,中危问题七个工作日内,低危问题十五个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定

3. QTUM安全团队对问题进行复查,确认修复后会告知提交者结论和漏洞得分(状态:已复查/复查异议)


材料整理阶段

根据要求完成测试脚本、手动测试说明、修复思路与文档完善等信息


赏金发放阶段

QTUM安全团队对提交人的材料完整性和修复完成度进行审核并发布奖励(状态:已结束)

Bug上报模板

<!--- Remove sections that do not apply -->

This issue tracker is only for technical issues related to Qtum.

### Describe the issue

### Can you reliably reproduce the issue?

#### If so, please list the steps to reproduce below:

1.

2.

### Expected behavior

Tell us what should happen

### Actual behavior

Tell us what happens instead

### Screenshots.

If the issue is related to the GUI, screenshots can be added to this issue via drag & drop.

### What version of Qtum are you using?

List the version number/commit ID

### Machine specs:

- OS:

- CPU:

- RAM:

- Disk size:

### Any extra information that might be useful in the debugging process.

This is normally the contents of a `debug.log` or `config.log` file. Raw text or a link to a pastebin type site are preferred.


模板举例

Title: DoS of stakers possible by sending a large transaction.

Description

An attacker can publish a very big transaction. This transaction will be accepted into the mempool, however, upon attempting to include that transaction in a block stakers will produce an invalid block that is not accepted by its peers.

Impact

It is possible for an attacker to cause a denial of service attack against all stakers on the network, effectively bringing block production to a halt.

Affected software

The core qtumd client.

Reproduction

  • Start qtumd in regtest mode on a clean chain in staking mode: qtumd -regtest -staking=1

  • Get some mature coins to enable staking: qtum-cli -regtest generate 600

  • Publish a really big transaction: qtum-cli -regtest sendtocontract ...

  • Wait for a minute while the staker loop runs.

  • Inspect the debug log

Expected result

The tx should have been rejected by AcceptToMemoryPoolWorker in step 3.

Actual result

  • The transaction is accepted into the mempool.

  • The debug.log has several entries of a block being rejected at each 16 second interval due to it including a transaction that exceeds the maximum transaction size.

Fix

Make sure that no transactions exceeding the maximum size are allowed into the mempool. This check should be implemented in AcceptToMemoryPoolWorker.

Files

Full debug.log


Bug修复后提交材料模板

###Fault cause

###Solution

###Resulting changes

###Resulting Document change

###Verify method

# Backwords compatible: (yes /no)

#Planned for version : (which version to deliver)

#New test case update/add/Manual testing:

References

  • https://docs.qtum.site

  • https://github.com/qtumproject


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/450239.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

.SpelEvaluationException: EL1008E: Property or field ‘cache_department_list_Tree‘ cannot be found

前些天发现了一个巨牛的人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c;忍不住分享一下给大家。点击跳转到教程。 报错如题&#xff1a; .SpelEvaluationException: EL1008E: Property or field cache_department_list_Tree cannot be found on object…

修过的一个android framework原生系统代码bug

“坑”描述&#xff1a; 在对我们自己研发的一款android终端进行camera拍照压力测试时&#xff0c;发现当拍照张数达到几万张时&#xff0c;查看内存占用情况&#xff0c;发现内存泄露。 填“坑”&#xff1a; frameworks/base/core/jni/android/graphics/YuvToJpegEncoder.…

Koa项目搭建过程详细记录

2019独角兽企业重金招聘Python工程师标准>>> Java中的Spring MVC加MyBatis基本上已成为Java Web的标配。Node JS上对应的有Koa、Express、Mongoose、Sequelize等。Koa一定程度上可以说是Express的升级版。许多Node JS项目已开始使用非关系型数据库(MongoDB)。Sequel…

商业项目中代码质量是否重要?

这是一篇比较老的 文章&#xff0c;但是文中的这些问题在现在仍然普遍存在。代码质量的高低与商业产品的优劣是否有直接的影响&#xff1f;开发者Frank Sommers在文中给出了他的看法。文章内容如下。在大多数商业项目中&#xff0c;代码质量并不被看重&#xff0c;因为大部分情…

Class is not a root resource. It, or one of its interfaces must be annotated with @Path:

前些天发现了一个巨牛的人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c;忍不住分享一下给大家。点击跳转到教程。 报错如题&#xff1a; Class is not a root resource. It, or one of its interfaces must be annotated with Path:XXXX 这是一个dub…

Equation漏洞混淆利用分析总结(下)

样本三 如下所示在该样本中&#xff0c;使用了Ole10Native的流&#xff0c;因此没有equative head&#xff0c;默认读取红框中的4位长度。之后的metf head为01. 可以看到metf head的长度为01时&#xff0c;直接进入到if判断中(该if中的函数实际是一个异常处理函数&#xff0c;但…

闲扯工程师的版本管理概念

如果你所在的公司还在通过qq给客户发sdk升级包等&#xff0c;你可以考虑换一家公司了。

resource fork, Finder information, or similar detr

1.关闭当前项目和Xcode 2.打开终端或者iterm cd ~/Library/Developer/Xcode/DerivedData/ 3. xattr -rc . 4.重新打开项目 5.如果不行那你就再试试其他的办法吧&#xff0c;我就是这样弄好的 如果有需要装系统的话可以看一下我自己封装的系统&#xff0c;原装系统无精简&#x…

5 个常用的软件质量指标

在软件开发中&#xff0c;软件质量是衡量软件是否符合需求、标准的重要体现。除了 代码质量外&#xff0c;影响软件整体质量的因素还有很多。因此&#xff0c;要确保软件的整体质量&#xff0c;就需要在各个环节严格控制。本文列出了衡量软件质量的5个最常用的指标。1. SLOC&a…

介绍一个对陌生程序快速进行性能瓶颈分析的技巧

前言 工作多年&#xff0c;一直做的是curd系统。前几年做的系统应用场景&#xff0c;大多对数据库依赖比较重。例如报表统计&#xff0c;数据迁移&#xff0c;批量对账等。所以这些系统出现性能瓶颈一般出在数据库操作上面。 如果程序因为数据库操作出现性能瓶颈是比较好办的&a…

[WARNING] The POM for XXX-system:jar:1.9.0-SNAPSHOT is missing, no dependency information available

前些天发现了一个巨牛的人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c;忍不住分享一下给大家。点击跳转到教程。 在 git-bash 中 想要启动一个工程服务就是不成功&#xff0c;始终提示jar包找不到&#xff0c;本地代码已提交。 这时可直接登陆git&am…

关于tcp网络通讯的几个场景的小测试

以下场景基于阻塞式IO 发送端向接收端快速的发送数据&#xff0c;接收端如果不接受或者很慢速的接受会发生什么情况。 发送端快速向接收端发送大量数据&#xff0c;然后立即退出&#xff0c;接收端会发生什么情况。

测试一体机ASM failgroup的相关问题处理

环境&#xff1a;3台虚拟机 RHEL 7.3 Oracle RAC 11.2.0.4问题现象&#xff1a;RAC运行正常&#xff0c;ASM磁盘组Normal冗余&#xff0c;有failgroup整体故障&#xff0c;有failgroup配置错误。温馨提示&#xff1a;本文并不是市场上任何一款商业的一体机产品&#xff0c;只是…

掌握穷变富的12条原则 迅速从普通人变成有钱人

“穷忙”和“富闲”是对立面&#xff0c;“穷”对“忙”&#xff0c;“富”对“闲”&#xff0c;很多“穷忙女”是在拿青春当赌注&#xff0c;希望自己今天的“美丽”明天就能在市场上有个不错的“回报”&#xff1b;而多数“富闲女”则是在拿智慧当筹码&#xff0c;既不可替代…

com.alibaba.dubbo.rpc.RpcException: Forbid consumer 192.168.184.1 access service com.foreveross.syst

前些天发现了一个巨牛的人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c;忍不住分享一下给大家。点击跳转到教程。 报错如下&#xff1a; com.alibaba.dubbo.rpc.RpcException: Forbid consumer 192.168.XXX.1 access service com.XXX.system.service.…

动手又动脑

1.编写一个程序&#xff0c;指定一个文件夹&#xff0c;能自动计算出其总容量。 import java.io.File; import java.io.IOException; public class FileEdit { double size0.0; //计算文件或文件夹的大小&#xff0c;单位MB public double getSize(File file){ //判断文件是否存…

windows下安装和设置gradle

一、安装前检查 检查jdk是否已经安装 二、下载gradle 1. https://gradle.org/releases/ 2.设置gradle环境变量 3. 环境变量中增加名为GRADLE_HOME的变量名,值为Gralde的解压路径,例如D:\Gradle 在path的后追加%GRADLE_HOME%\bin; 4. 验证 5.修改默认缓存目录 修改Gradle默认缓存…

智能硬件的时代,嵌入式是否已经日薄西山

存吐吐槽&#xff0c;智能硬件现在很火热&#xff0c;导致很多人以为嵌入式行业又迎来了春天&#xff0c;可是明白人都知道&#xff0c;智能硬件核心在智能&#xff0c;硬件是很次要的。目前的硬件产品&#xff0c;要有亮点&#xff0c;都和智能沾边&#xff0c;已经不是那个可…

赚大钱一定要选择

赚大钱一定要选择 八大赚钱定律让你赚翻天 许多人看起来已经步入小康了&#xff0c;但他们还说不上是真正的富人&#xff0c;从科学理财的观念看&#xff0c;凭高收入和攒钱来实现富裕的思路完全是错误的&#xff0c;依靠攒钱&#xff0c;不仅多数人无法获得最终的财务自由&…

深解微服务架构:从过去,到未来

http://www.uml.org.cn/zjjs/im... 微服务的诞生 微服务架构&#xff08;MicroserviceArchitect&#xff09;是一种架构模式&#xff0c;它提倡将单块架构的应用划分成一组小的服务&#xff0c;服务之间互相协调、互相配合&#xff0c;为用户提供最终价值。每个服务运行在其独立…