TradingView

Program Bug Bounty

Jeśli chcesz poinformować nas o słabym punkcie, prześlij zgłoszenie za pośrednictwem HackerOne.

Zakres programu

Oferujemy nagrody za zgłaszanie luk bezpieczeństwa w naszych usługach, infrastrukturze oraz aplikacjach mobilnych i webowych, w tym:

TradingView.com i wszystkie subdomeny

Natywna aplikacja na iOS

Natywna aplikacja na Androida

Tworzenie Wykresów

Desktop App

Nagrody

Twoja nagroda będzie zależała od wykrytej luki, a także jej wpływu na bezpieczeństwo. Szczegóły poniżej.

Wysoki

Za luki wpływające na działanie całej naszej platformy

  • Remote code execution (RCE)
  • Uzyskanie dostępu administratora
  • Wprowadzanie danych o znaczącym wpływie
  • Nieograniczony dostęp do lokalnych plików lub baz danych
  • Server-side request forgery (SSRF)
  • Ujawnienie istotnych informacji

Średni

Za luki, które nie wymagają interakcji użytkownika i mają wpływ na wielu użytkowników

  • Stored Cross-Site Scripting (XSS) ze znaczącym wpływem
  • Obejście uwierzytelnienia, które umożliwia zmianę danych użytkownika lub dostęp do danych prywatnych
  • Insecure Direct Object References (IDOR)
  • Przejęcie subdomeny

Niski

Za luki, które wymagają interakcji użytkownika lub wpływają na poszczególnych użytkowników

  • Cross-Site Scripting (XSS), z wyjątkiem self-XSS
  • Cross-Site Request Forgery (CSRF)
  • Przekierowanie URL
  • Manipulowanie reputacją użytkownika

Pamiętaj, że kwoty nagród mogą być różne. Rzeczywista nagroda może się różnić w zależności od wagi, autentyczności i możliwości wykorzystania błędów, a także środowiska i innych czynników wpływających na bezpieczeństwo.

Luki w zabezpieczeniach usług pomocniczych, takich jak Wiki, Blog itp. oraz luki w środowiskach nieprodukcyjnych, takich jak „beta”, „staging”, „demo” itp. są nagradzane tylko wtedy, gdy wpływają na naszą usługę jako całość lub mogą powodować wyciek wrażliwych danych użytkownika.

Zasady

  1. Zgłoszenie błędu powinno zawierać szczegółowy opis zidentyfikowanej luki oraz sekwencję kroków wymaganych do odtworzenia błędu/luki lub działającą implementację obrazującą błąd/lukę. Brak szczegółowego opisu luki może skutkować wydłużeniem się czasu analizy zgłoszenia i/lub jego odrzuceniem.
  2. Prześlij tylko jedną lukę na zgłoszenie, chyba że musisz połączyć luki w łańcuchy, aby zapewnić wpływ.
  3. Tylko pierwsza osoba, która zgłosi nieznaną lukę, zostanie nagrodzona. Gdy wystąpią duplikaty, nagrodzimy pierwszy raport tylko wtedy, gdy usterkę można w pełni odtworzyć.
  4. Używanie automatycznych narzędzi i skanerów do wyszukiwania luk jest zabronione, takie raporty nie będą brane pod uwagę.
  5. Nie wolno dokonywać żadnego ataku, który mógłby uszkodzić nasze usługi, dane lub dane naszych klientów. DDoS, spam lub ataki typu brute force są niedozwolone.
  6. Angażowanie innych użytkowników bez ich zgody jest zabronione.
  7. Nie wolno przeprowadzać ani próbować przeprowadzać ataków o charakterze nietechnicznym, takich jak inżynieria społeczna, phishing lub atak fizyczny na naszych pracowników, użytkowników lub infrastrukturę.
  8. Proszę dostarczyć szczegółowe raporty z powtarzalnymi krokami. Jeśli raport nie jest wystarczająco szczegółowy, aby odtworzyć problem, problem nie będzie kwalifikował się do nagrody.
  9. Wiele luk w zabezpieczeniach spowodowanych przez jeden podstawowy problem zostanie nagrodzonych jednorazowo, ale hojnie.
  10. Prosimy o podjęcie w dobrej wierze starań, aby uniknąć naruszeń prywatności, niszczenia danych oraz przerw lub pogorszenia jakości naszych usług.

Luki poza zakresem

Następujące kwestie są uważane za nieobjęte zakresem:

  • Luki w zabezpieczeniach w oprogramowaniu użytkownika lub luki wymagające pełnego dostępu do oprogramowania użytkownika, konta/kont, poczty elektronicznej, telefonu itp.
  • Luki w zabezpieczeniach lub wycieki w usługach stron trzecich;
  • Luki w zabezpieczeniach lub stare wersje oprogramowania/protokołów stron trzecich, utrata ochrony, a także odstępstwo od najlepszych praktyk, które nie stanowią zagrożenia bezpieczeństwa;
  • Luki w zabezpieczeniach bez znaczącego wpływu na bezpieczeństwo lub możliwości dalszego wykorzystania;
  • Luki w zabezpieczeniach, które wymagają od użytkownika wykonania nietypowych działań;
  • Ujawnienie informacji publicznych lub niepoufnych;
  • Ataki homograficzne;
  • Luki w zabezpieczeniach, które wymagają zrootowanych, zjailbreakowanych lub zmodyfikowanych urządzeń i aplikacji.
  • Wszelkie działania, które mogą prowadzić do zakłócenia naszego serwisu.

Istnieje kilka przykładów takich luk, które nie są nagradzane:

  • Dane geolokalizacyjne EXIF nie zostały usunięte.
  • Clickjacking na stronach bez wrażliwych działań.
  • Cross-Site Request Forgery (CSRF) w nieuwierzytelnionych formularzach lub formularzach bez poufnych akcji, wyloguj się z CSRF.
  • Słabe szyfry lub konfiguracja TLS bez działającego Proof of Concept.
  • Problemy z fałszowaniem treści lub wstrzykiwaniem bez pokazywania wektora ataku.
  • Problemy z ograniczeniem szybkości lub brutalną siłą w punktach końcowych nieuwierzytelniających.
  • Brakujące flagi HttpOnly lub Secure w plikach cookie.
  • Ujawnienie wersji oprogramowania. Problemy z identyfikacją banera. Opisowe komunikaty o błędach lub nagłówki (np. błędy aplikacji lub serwera).
  • Publiczne luki w zabezpieczeniach typu zero-day, które miały oficjalną łatkę krócej niż 1 miesiąc, będą przyznawane indywidualnie.
  • Tabnabbing.
  • Istnienie użytkownika. Wyliczenie użytkownika, adresu e-mail lub numeru telefonu.
  • Brak ograniczeń złożoności hasła.

Łowcy nagród

Chcemy podziękować tym, którzy wnieśli duży wkład w badania i rozwój.

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague