TradingView Bugg-belönings program

Om du vill informera oss om en sårbarhet kan du skicka in en rapport via HackerOne.

Programmets omfattning

Vi erbjuder belöningar för rapporter som täcker säkerhetsproblem i våra tjänster, infrastruktur, webb- och mobilapplikationer som:

TradingView.com såväl som underdomäner

Nativ iOS-app

Nativ Android-app

Diagrambibliotek och tradingterminal

Belöningar

Din belöning beror på den upptäckta sårbarheten och dess säkerhetspåverkan. Se detaljerna nedan.

upp till^$1500

För en sårbarhet som påverkar hela vår plattform

RCE (Remote code exekution)
Få administratörsbehörighet
Injektioner med betydande påverkan
Obegränsad åtkomst till lokala filer eller databaser
SSRF (Server-side forgery)
Offentliggörande av kritisk information

upp till^$700

För en sårbarhet som inte kräver användarinteraktion och påverkar många användare

Lagrad Cross-Site Scripting (XSS) med en betydande inverkan
En autentiseringsbypass som möjliggör ändring av användardata eller åtkomst till privata data
IDOR (Insecure Direct Object References)

upp till^$300

För en sårbarhet som kräver användarinteraktion eller påverkar enskilda användare

Cross-Site Scripting (XSS), utom self-XXS
CSFR (Cross-site Request Forgery)
URL-omdirigering
Manipulation av användarens rykte

Observera att belöningsbeloppen kan vara olika. En faktisk belöning kan variera beroende på allvarlighetsgrad, äkthet och exploateringsmöjligheter för buggar såväl som miljön och andra faktorer som påverkar säkerheten.

Sårbarheter för hjälptjänster som Wiki, Blog osv. och sårbarheter i miljöer som inte är produktion, som "beta", "staging", "demo" osv. belönas endast när de påverkar vår tjänst som helhet eller kan orsaka känslig användardata läckage.

Du behöver ett PayPal-ID eftersom vi använder PayPal för att utfärda belöningar.

Du kommer INTE att få en belöning för upptäckten av följande sårbarheter:

du är inte den första som rapporterar denna sårbarhet;
sårbarheter i användarens programvara eller sårbarheter som kräver full åtkomst till användarens programvara, konton, e-post, telefon os.;;
sårbarheter eller läckor i tjänster från tredje part;
sårbarheter eller äldre versioner av programvara / protokoll från tredje part, missat skydd samt avvikelse från bästa praxis som inte skapar ett säkerhetshot;
sårbarheter utan väsentlig säkerhetspåverkan eller exploateringsmöjlighet;
sårbarheter som kräver att användaren utför ovanliga åtgärder;
offentliggörande av offentlig eller icke-känslig information;
homografattacker;
sårbarheter som kräver rotade, fängslade eller modifierade enheter och applikationer.

Regler

Var tålmodig eftersom rapporter granskas inom två veckor och vi behöver ibland mer tid för att lösa problemet.
En felrapport ska innehålla en detaljerad beskrivning av den upptäckta sårbarheten och åtgärder som måste vidtas för att reproducera det eller ett fungerande bevis på konceptet. Om du inte beskriver sårbarhetsinformation kan det ta lång tid att granska rapporten och / eller kan resultera i en avvisning av din rapport.
Du bör inte använda automatiserade verktyg och skannrar för att hitta sårbarheter eftersom sådana rapporter ignoreras.
Du bör inte utföra någon attack som kan skada våra tjänster, våra eller kunddata. DDoS, spam, brute force attacks är inte tillåtna.
Du bör inte involvera andra användare utan sitt uttryckliga samtycke.
Du bör inte utföra eller försöka utföra icke-tekniska attacker som social manipulation, nätfiske eller fysiska attacker mot våra anställda, användare eller infrastruktur i allmänhet.