TradingView
Program Bug Bounty

Jeśli chcesz poinformować nas o słabym punkcie, prześlij zgłoszenie za pośrednictwem HackerOne.

Zakres programu

Oferujemy nagrody za zgłaszanie luk bezpieczeństwa w naszych usługach, infrastrukturze oraz aplikacjach mobilnych i webowych, w tym:

Strona internetowa

Problemy na TradingView.com i jego subdomenach.

Aplikacje mobilne

Problemy na platformach iOS i Android.

Rozwiązania dotyczące wykresów

Błędy w narzędziach, widżetach lub interfejsach API.

Desktop App

Błędy lub problemy z wydajnością w aplikacji komputerowej.

Nagrody

Twoja nagroda będzie zależała od wykrytej luki, a także jej wpływu na bezpieczeństwo. Szczegóły poniżej.

Remote code execution (RCE)
Uzyskanie dostępu administratora
Wprowadzanie danych o znaczącym wpływie
Nieograniczony dostęp do lokalnych plików lub baz danych
Server-side request forgery (SSRF)
Ujawnienie istotnych informacji

Stored Cross-Site Scripting (XSS) ze znaczącym wpływem
Obejście uwierzytelnienia, które umożliwia zmianę danych użytkownika lub dostęp do danych prywatnych
Insecure Direct Object References (IDOR)
Przejęcie subdomeny

Cross-Site Scripting (XSS), z wyjątkiem self-XSS
Cross-Site Request Forgery (CSRF)
Przekierowanie URL
Manipulowanie reputacją użytkownika

Pamiętaj, że kwoty nagród mogą być różne. Rzeczywista nagroda może się różnić w zależności od wagi, autentyczności i możliwości wykorzystania błędów, a także środowiska i innych czynników wpływających na bezpieczeństwo.

Luki w zabezpieczeniach usług pomocniczych, takich jak Wiki, Blog itp. oraz luki w środowiskach nieprodukcyjnych, takich jak „beta”, „staging”, „demo” itp. są nagradzane tylko wtedy, gdy wpływają na naszą usługę jako całość lub mogą powodować wyciek wrażliwych danych użytkownika.

Zasady

Zgłoszenie błędu powinno zawierać szczegółowy opis zidentyfikowanej luki oraz sekwencję kroków wymaganych do odtworzenia błędu/luki lub działającą implementację obrazującą błąd/lukę. Brak szczegółowego opisu luki może skutkować wydłużeniem się czasu analizy zgłoszenia i/lub jego odrzuceniem.
Prześlij tylko jedną lukę na zgłoszenie, chyba że musisz połączyć luki w łańcuchy, aby zapewnić wpływ.
Tylko pierwsza osoba, która zgłosi nieznaną lukę, zostanie nagrodzona. Gdy wystąpią duplikaty, nagrodzimy pierwszy raport tylko wtedy, gdy usterkę można w pełni odtworzyć.
Używanie automatycznych narzędzi i skanerów do wyszukiwania luk jest zabronione, takie raporty nie będą brane pod uwagę.
Nie wolno dokonywać żadnego ataku, który mógłby uszkodzić nasze usługi, dane lub dane naszych klientów. DDoS, spam lub ataki typu brute force są niedozwolone.
Angażowanie innych użytkowników bez ich zgody jest zabronione.
Nie wolno przeprowadzać ani próbować przeprowadzać ataków o charakterze nietechnicznym, takich jak inżynieria społeczna, phishing lub atak fizyczny na naszych pracowników, użytkowników lub infrastrukturę.
Proszę dostarczyć szczegółowe raporty z powtarzalnymi krokami. Jeśli raport nie jest wystarczająco szczegółowy, aby odtworzyć problem, problem nie będzie kwalifikował się do nagrody.
Wiele luk w zabezpieczeniach spowodowanych przez jeden podstawowy problem zostanie nagrodzonych jednorazowo, ale hojnie.
Prosimy o podjęcie w dobrej wierze starań, aby uniknąć naruszeń prywatności, niszczenia danych oraz przerw lub pogorszenia jakości naszych usług.

Luki poza zakresem

Następujące kwestie są uważane za nieobjęte zakresem:

Luki w zabezpieczeniach w oprogramowaniu użytkownika lub luki wymagające pełnego dostępu do oprogramowania użytkownika, konta/kont, poczty elektronicznej, telefonu itp.
Luki w zabezpieczeniach lub wycieki w usługach stron trzecich;
Luki w zabezpieczeniach lub stare wersje oprogramowania/protokołów stron trzecich, utrata ochrony, a także odstępstwo od najlepszych praktyk, które nie stanowią zagrożenia bezpieczeństwa;
Luki w zabezpieczeniach bez znaczącego wpływu na bezpieczeństwo lub możliwości dalszego wykorzystania;
Luki w zabezpieczeniach, które wymagają od użytkownika wykonania nietypowych działań;
Ujawnienie informacji publicznych lub niepoufnych;
Ataki homograficzne;
Luki w zabezpieczeniach, które wymagają zrootowanych, zjailbreakowanych lub zmodyfikowanych urządzeń i aplikacji.
Wszelkie działania, które mogą prowadzić do zakłócenia naszego serwisu.

Istnieje kilka przykładów takich luk, które nie są nagradzane:

Dane geolokalizacyjne EXIF nie zostały usunięte.
Clickjacking na stronach bez wrażliwych działań.
Cross-Site Request Forgery (CSRF) w nieuwierzytelnionych formularzach lub formularzach bez poufnych akcji, wyloguj się z CSRF.
Słabe szyfry lub konfiguracja TLS bez działającego Proof of Concept.
Problemy z fałszowaniem treści lub wstrzykiwaniem bez pokazywania wektora ataku.
Problemy z ograniczeniem szybkości lub brutalną siłą w punktach końcowych nieuwierzytelniających.
Brakujące flagi HttpOnly lub Secure w plikach cookie.
Ujawnienie wersji oprogramowania. Problemy z identyfikacją banera. Opisowe komunikaty o błędach lub nagłówki (np. błędy aplikacji lub serwera).
Publiczne luki w zabezpieczeniach typu zero-day, które miały oficjalną łatkę krócej niż 1 miesiąc, będą przyznawane indywidualnie.
Tabnabbing.
Istnienie użytkownika. Wyliczenie użytkownika, adresu e-mail lub numeru telefonu.
Brak ograniczeń złożoności hasła.