Program TradingView Bug Bounty
Jeśli chcesz poinformować nas o słabym punkcie, prześlij zgłoszenie za pośrednictwem HackerOne.
Zakres programu
Oferujemy nagrody za zgłaszanie luk bezpieczeństwa w naszych usługach, infrastrukturze oraz aplikacjach mobilnych i webowych, w tym:
TradingView.com i wszystkie subdomeny
Natywna aplikacja na iOS
Natywna aplikacja na Androida
Biblioteka Wykresów oraz Platforma Tradingowa
Nagrody
Twoja nagroda będzie zależała od wykrytej luki, a także jej wpływu na bezpieczeństwo. Szczegóły poniżej.
do$1500
Za luki wpływające na działanie całej naszej platformy
- Remote code execution (RCE)
- Uzyskanie dostępu administratora
- Wprowadzanie danych o znaczącym wpływie
- Nieograniczony dostęp do lokalnych plików lub baz danych
- Server-side request forgery (SSRF)
- Ujawnienie istotnych informacji
do$700
Za luki, które nie wymagają interakcji użytkownika i mają wpływ na wielu użytkowników
- Stored Cross-Site Scripting (XSS) ze znaczącym wpływem
- Obejście uwierzytelnienia, które umożliwia zmianę danych użytkownika lub dostęp do danych prywatnych
- Insecure Direct Object References (IDOR)
do$300
Za luki, które wymagają interakcji użytkownika lub wpływają na poszczególnych użytkowników
- Cross-Site Scripting (XSS), z wyjątkiem self-XSS
- Cross-Site Request Forgery (CSRF)
- Przekierowanie URL
- Manipulowanie reputacją użytkownika
Pamiętaj, że kwoty nagród mogą być różne. Rzeczywista nagroda może się różnić w zależności od wagi, autentyczności i możliwości wykorzystania błędów, a także środowiska i innych czynników wpływających na bezpieczeństwo.
Luki w zabezpieczeniach usług pomocniczych, takich jak Wiki, Blog itp. oraz luki w środowiskach nieprodukcyjnych, takich jak „beta”, „staging”, „demo” itp. są nagradzane tylko wtedy, gdy wpływają na naszą usługę jako całość lub mogą powodować wyciek wrażliwych danych użytkownika.
Będziesz potrzebować identyfikatora PayPal, ponieważ do wydawania nagród korzystamy z systemu PayPal.
NIE otrzymasz nagrody za odkrycie następujących luk w zabezpieczeniach:
- Nie jesteś pierwszą osobą, która zgłosiła daną lukę;
- Luki w zabezpieczeniach w oprogramowaniu użytkownika lub luki wymagające pełnego dostępu do oprogramowania użytkownika, konta/kont, poczty elektronicznej, telefonu itp.;
- Luki w zabezpieczeniach lub wycieki w usługach stron trzecich;
- Luki w zabezpieczeniach lub stare wersje oprogramowania/protokołów stron trzecich, utrata ochrony, a także odstępstwo od najlepszych praktyk, które nie stanowią zagrożenia bezpieczeństwa;
- Luki w zabezpieczeniach bez znaczącego wpływu na bezpieczeństwo lub możliwości dalszego wykorzystania;
- Luki w zabezpieczeniach, które wymagają od użytkownika wykonania nietypowych działań;
- Ujawnienie informacji publicznych lub niepoufnych;
- Ataki homograficzne;
- Luki w zabezpieczeniach, które wymagają zrootowanych, zjailbreakowanych lub zmodyfikowanych urządzeń i aplikacji.
Zasady
- Prosimy o cierpliwość, ponieważ raporty są sprawdzane w ciągu dwóch tygodni, a czasem naprawienie błędu zajmuje więcej czasu.
- Zgłoszenie błędu powinno zawierać szczegółowy opis zidentyfikowanej luki oraz sekwencję kroków wymaganych do odtworzenia błędu/luki lub działającą implementację obrazującą błąd/lukę. Brak szczegółowego opisu luki może skutkować wydłużeniem się czasu analizy zgłoszenia i/lub jego odrzuceniem.
- Używanie automatycznych narzędzi i skanerów do wyszukiwania luk jest zabronione, takie raporty nie będą brane pod uwagę.
- Nie wolno dokonywać żadnego ataku, który mógłby uszkodzić nasze usługi, dane lub dane naszych klientów. DDoS, spam lub ataki typu brute force są niedozwolone.
- Angażowanie innych użytkowników bez ich zgody jest zabronione.
- Nie wolno przeprowadzać ani próbować przeprowadzać ataków o charakterze nietechnicznym, takich jak inżynieria społeczna, phishing lub atak fizyczny na naszych pracowników, użytkowników lub infrastrukturę.
Łowcy nagród
Chcemy podziękować tym, którzy wnieśli duży wkład w badania i rozwój.
