TradingView
Program Bug Bounty
Jeśli chcesz poinformować nas o słabym punkcie, prześlij zgłoszenie za pośrednictwem HackerOne.
Zakres programu
Oferujemy nagrody za zgłaszanie luk bezpieczeństwa w naszych usługach, infrastrukturze oraz aplikacjach mobilnych i webowych, w tym:
TradingView.com i wszystkie subdomeny
Natywna aplikacja na iOS
Natywna aplikacja na Androida
Tworzenie Wykresów
Desktop App
Nagrody
Twoja nagroda będzie zależała od wykrytej luki, a także jej wpływu na bezpieczeństwo. Szczegóły poniżej.
Wysoki
Za luki wpływające na działanie całej naszej platformy
- Remote code execution (RCE)
- Uzyskanie dostępu administratora
- Wprowadzanie danych o znaczącym wpływie
- Nieograniczony dostęp do lokalnych plików lub baz danych
- Server-side request forgery (SSRF)
- Ujawnienie istotnych informacji
Średni
Za luki, które nie wymagają interakcji użytkownika i mają wpływ na wielu użytkowników
- Stored Cross-Site Scripting (XSS) ze znaczącym wpływem
- Obejście uwierzytelnienia, które umożliwia zmianę danych użytkownika lub dostęp do danych prywatnych
- Insecure Direct Object References (IDOR)
- Przejęcie subdomeny
Niski
Za luki, które wymagają interakcji użytkownika lub wpływają na poszczególnych użytkowników
- Cross-Site Scripting (XSS), z wyjątkiem self-XSS
- Cross-Site Request Forgery (CSRF)
- Przekierowanie URL
- Manipulowanie reputacją użytkownika
Pamiętaj, że kwoty nagród mogą być różne. Rzeczywista nagroda może się różnić w zależności od wagi, autentyczności i możliwości wykorzystania błędów, a także środowiska i innych czynników wpływających na bezpieczeństwo.
Luki w zabezpieczeniach usług pomocniczych, takich jak Wiki, Blog itp. oraz luki w środowiskach nieprodukcyjnych, takich jak „beta”, „staging”, „demo” itp. są nagradzane tylko wtedy, gdy wpływają na naszą usługę jako całość lub mogą powodować wyciek wrażliwych danych użytkownika.
Zasady
- Zgłoszenie błędu powinno zawierać szczegółowy opis zidentyfikowanej luki oraz sekwencję kroków wymaganych do odtworzenia błędu/luki lub działającą implementację obrazującą błąd/lukę. Brak szczegółowego opisu luki może skutkować wydłużeniem się czasu analizy zgłoszenia i/lub jego odrzuceniem.
- Prześlij tylko jedną lukę na zgłoszenie, chyba że musisz połączyć luki w łańcuchy, aby zapewnić wpływ.
- Tylko pierwsza osoba, która zgłosi nieznaną lukę, zostanie nagrodzona. Gdy wystąpią duplikaty, nagrodzimy pierwszy raport tylko wtedy, gdy usterkę można w pełni odtworzyć.
- Używanie automatycznych narzędzi i skanerów do wyszukiwania luk jest zabronione, takie raporty nie będą brane pod uwagę.
- Nie wolno dokonywać żadnego ataku, który mógłby uszkodzić nasze usługi, dane lub dane naszych klientów. DDoS, spam lub ataki typu brute force są niedozwolone.
- Angażowanie innych użytkowników bez ich zgody jest zabronione.
- Nie wolno przeprowadzać ani próbować przeprowadzać ataków o charakterze nietechnicznym, takich jak inżynieria społeczna, phishing lub atak fizyczny na naszych pracowników, użytkowników lub infrastrukturę.
- Proszę dostarczyć szczegółowe raporty z powtarzalnymi krokami. Jeśli raport nie jest wystarczająco szczegółowy, aby odtworzyć problem, problem nie będzie kwalifikował się do nagrody.
- Wiele luk w zabezpieczeniach spowodowanych przez jeden podstawowy problem zostanie nagrodzonych jednorazowo, ale hojnie.
- Prosimy o podjęcie w dobrej wierze starań, aby uniknąć naruszeń prywatności, niszczenia danych oraz przerw lub pogorszenia jakości naszych usług.
Luki poza zakresem
Następujące kwestie są uważane za nieobjęte zakresem:
- Luki w zabezpieczeniach w oprogramowaniu użytkownika lub luki wymagające pełnego dostępu do oprogramowania użytkownika, konta/kont, poczty elektronicznej, telefonu itp.
- Luki w zabezpieczeniach lub wycieki w usługach stron trzecich;
- Luki w zabezpieczeniach lub stare wersje oprogramowania/protokołów stron trzecich, utrata ochrony, a także odstępstwo od najlepszych praktyk, które nie stanowią zagrożenia bezpieczeństwa;
- Luki w zabezpieczeniach bez znaczącego wpływu na bezpieczeństwo lub możliwości dalszego wykorzystania;
- Luki w zabezpieczeniach, które wymagają od użytkownika wykonania nietypowych działań;
- Ujawnienie informacji publicznych lub niepoufnych;
- Ataki homograficzne;
- Luki w zabezpieczeniach, które wymagają zrootowanych, zjailbreakowanych lub zmodyfikowanych urządzeń i aplikacji.
- Wszelkie działania, które mogą prowadzić do zakłócenia naszego serwisu.
Istnieje kilka przykładów takich luk, które nie są nagradzane:
- Dane geolokalizacyjne EXIF nie zostały usunięte.
- Clickjacking na stronach bez wrażliwych działań.
- Cross-Site Request Forgery (CSRF) w nieuwierzytelnionych formularzach lub formularzach bez poufnych akcji, wyloguj się z CSRF.
- Słabe szyfry lub konfiguracja TLS bez działającego Proof of Concept.
- Problemy z fałszowaniem treści lub wstrzykiwaniem bez pokazywania wektora ataku.
- Problemy z ograniczeniem szybkości lub brutalną siłą w punktach końcowych nieuwierzytelniających.
- Brakujące flagi HttpOnly lub Secure w plikach cookie.
- Ujawnienie wersji oprogramowania. Problemy z identyfikacją banera. Opisowe komunikaty o błędach lub nagłówki (np. błędy aplikacji lub serwera).
- Publiczne luki w zabezpieczeniach typu zero-day, które miały oficjalną łatkę krócej niż 1 miesiąc, będą przyznawane indywidualnie.
- Tabnabbing.
- Istnienie użytkownika. Wyliczenie użytkownika, adresu e-mail lub numeru telefonu.
- Brak ograniczeń złożoności hasła.
Łowcy nagród
Chcemy podziękować tym, którzy wnieśli duży wkład w badania i rozwój.
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh