Rozpocznij

Program Bug Bounty

Znaleziono podatność na naszej platformie? Daj nam znać.

O programie

Otrzymaj nagrodę za pomoc w ulepszaniu naszej platformy. Zgłoszenia mogą dotyczyć podatności bezpieczeństwa w naszych usługach, infrastrukturze i aplikacjach.

Strona internetowa

Problemy na TradingView.com i jego subdomenach

Aplikacje mobilne

Problemy na platformach iOS i Android.

Rozwiązania dotyczące wykresów 

Błędy w narzędziach, widżetach lub interfejsach API.

Wersja desktopowa

Błędy lub problemy z wydajnością w aplikacji komputerowej.

Poziomy nagród

Twoja nagroda zależy od rodzaju zgłoszonej podatności oraz jej ogólnego wpływu na bezpieczeństwo

  • Zdalne wykonanie kodu (RCE) lub dostęp administratora
  • Podatności typu injection o wysokim wpływie
  • Nieograniczony dostęp do lokalnych plików lub baz danych
  • Obejście uwierzytelniania umożliwiające modyfikację danych użytkownika lub dostęp do danych prywatnych
  • Przejęcie subdomeny
  • Błędy logiczne powodujące skutki finansowe, np. uzyskanie subskrypcji za darmo
  • Cross-site scripting (XSS), z wyłączeniem self-XSS
  • Fałszowanie żądań między witrynami (CSRF)
  • Manipulowanie reputacją użytkownika
  • Podatności typu injection o niskim wpływie
  • Obchodzenie ograniczeń użytkownika

Wysokość nagród może się różnić. Rzeczywista nagroda może ulec zmianie w zależności od wagi, autentyczności oraz możliwości wykorzystania błędów, a także środowiska i innych czynników wpływających na bezpieczeństwo

Luki w usługach pomocniczych, takich jak Blog, oraz luki w środowiskach nieprodukcyjnych, takich jak „beta”, „staging”, „demo” itp., kwalifikują się do nagrody wyłącznie wtedy, gdy wpływają na naszą usługę jako całość lub mogą prowadzić do ujawnienia wrażliwych danych użytkowników.

Zasady

  1. Zgłoszenie błędu powinno zawierać szczegółowy opis zidentyfikowanej luki oraz sekwencję kroków wymaganych do odtworzenia błędu/luki lub działającą implementację obrazującą błąd/lukę. Brak szczegółowego opisu luki może skutkować wydłużeniem się czasu analizy zgłoszenia i/lub jego odrzuceniem.
  2. Prześlij tylko jedną lukę na zgłoszenie, chyba że musisz połączyć luki w łańcuchy, aby zapewnić wpływ.
  3. Tylko pierwsza osoba, która zgłosi nieznaną lukę, zostanie nagrodzona. Gdy wystąpią duplikaty, nagrodzimy pierwszy raport tylko wtedy, gdy usterkę można w pełni odtworzyć.
  4. Używanie automatycznych narzędzi i skanerów do wyszukiwania luk jest zabronione, takie raporty nie będą brane pod uwagę.
  5. Nie należy przeprowadzać żadnych ataków, które mogłyby uszkodzić nasze usługi lub dane, w tym dane klientów. Jeśli zostanie wykryte, że miały miejsce ataki DDoS, spam lub brute force, nagrody nie zostaną przyznane
  6. Angażowanie innych użytkowników bez ich zgody jest zabronione.
  7. Nie wolno przeprowadzać ani próbować przeprowadzać ataków o charakterze nietechnicznym, takich jak inżynieria społeczna, phishing lub atak fizyczny na naszych pracowników, użytkowników lub infrastrukturę.
  8. Proszę dostarczyć szczegółowe raporty z powtarzalnymi krokami. Jeśli raport nie jest wystarczająco szczegółowy, aby odtworzyć problem, problem nie będzie kwalifikował się do nagrody.
  9. Wiele luk w zabezpieczeniach spowodowanych przez jeden podstawowy problem zostanie nagrodzonych jednorazowo, ale hojnie.
  10. Prosimy o podjęcie w dobrej wierze starań, aby uniknąć naruszeń prywatności, niszczenia danych oraz przerw lub pogorszenia jakości naszych usług.

Luki poza zakresem

Następujące kwestie są uznawane za wyłączone z zakresu programu

  • Podatności w oprogramowaniu użytkowników lub podatności wymagające pełnego dostępu do oprogramowania użytkownika, konta/kont, e-maila, telefonu itp.
  • Podatności lub wycieki w usługach podmiotów trzecich
  • Podatności lub przestarzałe wersje oprogramowania/protokołów podmiotów trzecich, brakujące zabezpieczenia, a także odstępstwa od najlepszych praktyk, które nie stwarzają zagrożenia bezpieczeństwa
  • Podatności bez istotnego wpływu na bezpieczeństwo lub możliwości ich wykorzystania
  • Podatności wymagające od użytkownika wykonywania nietypowych działań
  • Ujawnienie informacji publicznych lub niewrażliwych
  • Ataki homograficzne
  • Podatności wymagające zrootowanych, z jailbreakiem lub zmodyfikowanych urządzeń i aplikacji
  • Jakakolwiek aktywność, która mogłaby doprowadzić do zakłócenia działania naszej usługi

Istnieje kilka przykładów takich podatności, które nie są nagradzane.

  • Nieu­sunięte dane geolokalizacyjne EXIF
  • Clickjacking na stronach bez wrażliwych działań
  • Cross-Site Request Forgery (CSRF) w formularzach nieuwierzytelnionych lub formularzach bez wrażliwych działań, CSRF wylogowania
  • Słabe szyfry lub konfiguracja TLS bez działającego Proof of Concept
  • Podszywanie się pod treść lub podatności typu injection bez przedstawienia wektora ataku
  • Problemy z ograniczaniem liczby żądań lub ataki brute force na endpointy niezwiązane z uwierzytelnianiem
  • Brak flag HttpOnly lub Secure w plikach cookie
  • Ujawnienie wersji oprogramowania. Problemy z identyfikacją banerów. Opisowe komunikaty błędów lub nagłówki (np. ślady stosu, błędy aplikacji lub serwera)
  • Publiczne podatności zero-day, dla których oficjalna poprawka została wydana mniej niż 1 miesiąc temu, będą nagradzane indywidualnie w zależności od przypadku
  • Tabnabbing
  • Istnienie użytkownika. Enumeracja użytkowników, adresów e-mail lub numerów telefonu
  • Brak wymagań dotyczących złożoności hasła