Program TradingView Bug Bounty
Jeśli zidentyfikowałeś lukę/błąd w zabezpieczeniach i chciałbyś nam ten fakt zgłosić, skontaktuj się z nami pod adresem
Zakres programu
Oferujemy nagrody za zgłaszanie luk bezpieczeństwa w naszych usługach, infrastrukturze oraz aplikacjach mobilnych i webowych
Twoje badania mogą obejmować:
TradingView.com oraz subdomeny
Natywna aplikacja na iOS
Natywna aplikacja na Androida
Biblioteka Wykresów oraz Platforma Tradingowa
Nagrody
Twoja nagroda będzie zależała od wykrytej luki, a także jej wpływu na bezpieczeństwo. Szczegóły poniżej.
do$1500
Luka w zabezpieczeniach wpływająca na działanie całej usługi
- Remote code execution (RCE)
- Uzyskanie dostępu administratora
- Wprowadzanie danych o znaczącym wpływie
- Nieograniczony dostęp do lokalnych plików lub baz danych
- Server side request forgery (SSRF)
- Ujawnienie istotnych informacji
do$700
Luka w zabezpieczeniach nie wymagająca interakcji użytkownika i wpływająca na wielu użytkowników
- Stored Cross-Site Scripting (XSS) ze znaczącym wpływem
- Obejście uwierzytelnienia, które umożliwia zmianę danych użytkownika lub dostęp do danych prywatnych
- Insecure Direct Object References (IDOR)
do$300
Luka wymaga interakcji użytkownika lub wpływa na poszczególnych użytkowników
- Cross-Site Scripting (XSS), z wyjątkiem self-XSS
- Cross-Site Request Forgery (CSRF)
- Przekierowanie URL
- Manipulowanie reputacją użytkownika
Pamiętaj, że kwoty nagród mogą być różne. Rzeczywista nagroda może się różnić w zależności od wagi, autentyczności i możliwości wykorzystania błędów, a także środowiska i innych czynników wpływających na bezpieczeństwo.
Luki w zabezpieczeniach usług pomocniczych, takich jak Wiki, Blog itp. oraz luki w środowiskach nieprodukcyjnych, takich jak „beta”, „staging”, „demo” itp. są nagradzane tylko wtedy, gdy wpływają na naszą usługę jako całość lub mogą powodować wyciek wrażliwych danych użytkownika.
Będziesz potrzebować identyfikatora PayPal, ponieważ do wydawania nagród korzystamy z systemu PayPal.
NIE otrzymasz nagrody za odkrycie następujących luk w zabezpieczeniach:
- Nie jesteś pierwszą osobą, która zgłosiła daną lukę;
- Luki w zabezpieczeniach w oprogramowaniu użytkownika lub luki wymagające pełnego dostępu do oprogramowania użytkownika, konta/kont, poczty elektronicznej, telefonu itp.;
- Luki w zabezpieczeniach lub wycieki w usługach stron trzecich;
- Luki w zabezpieczeniach lub stare wersje oprogramowania/protokołów stron trzecich, utrata ochrony, a także odstępstwo od najlepszych praktyk, które nie stanowią zagrożenia bezpieczeństwa;
- Luki w zabezpieczeniach bez znaczącego wpływu na bezpieczeństwo lub możliwości dalszego wykorzystania;
- Luki w zabezpieczeniach, które wymagają od użytkownika wykonania nietypowych działań;
- Ujawnienie informacji publicznych lub niepoufnych;
- Ataki homograficzne;
- Luki w zabezpieczeniach, które wymagają zrootowanych, zjailbreakowanych lub zmodyfikowanych urządzeń i aplikacji.
Zasady
- Nie ujawniaj błędu przed otrzymaniem od nas pozwolenia. Prosimy o cierpliwość - zgłoszenia są analizowane w okresie do dwóch tygodni o przyjęcia zgłoszenia, a samo usunięcie błędu/błędów wymaga czasu.
- Zgłoszenie błędu powinno zawierać szczegółowy opis zidentyfikowanej luki oraz sekwencję kroków wymaganych do odtworzenia błędu/luki lub działającą implementację obrazującą błąd/lukę. Brak szczegółowego opisu luki może skutkować wydłużeniem się czasu analizy zgłoszenia i/lub jego odrzuceniem.
- Nie wolno używać automatycznych narzędzi i skanerów do znajdowania luk w zabezpieczeniach, ponieważ takie raporty nie będą sprawdzane.
- Nie wolno dokonywać żadnego ataku, który mógłby uszkodzić nasze usługi, dane lub dane naszych klientów. DDoS, spam lub ataki typu brute force są niedozwolone.
- Angażowanie innych użytkowników bez ich zgody jest zabronione.
- Przeprowadzanie lub próba przeprowadzanie ataków bazujących na technikach inżynierii społecznej, phishingu lub wymagających użycia przemocy fizycznej wobec naszych pracowników, użytkowników lub infrastruktury jest zabronione.
