TradingViews
belöningsprogram för buggar
Om du vill informera oss om en sårbarhet kan du skicka in en rapport via HackerOne.
Programmets omfattning
Vi erbjuder belöningar för rapporter som täcker säkerhetsproblem i våra tjänster, infrastruktur, webb- och mobilapplikationer som:
Belöningar
Din belöning beror på den upptäckta sårbarheten och dess säkerhetspåverkan. Se detaljerna nedan.
Hög
För en sårbarhet som påverkar hela vår plattform
- RCE (Remote code exekution)
- Få administratörsbehörighet
- Injektioner med betydande påverkan
- Obegränsad åtkomst till lokala filer eller databaser
- SSRF (Server-side forgery)
- Offentliggörande av kritisk information
Medium
För en sårbarhet som inte kräver användarinteraktion och påverkar många användare
- Lagrad Cross-Site Scripting (XSS) med en betydande inverkan
- En autentiseringsbypass som möjliggör ändring av användardata eller åtkomst till privata data
- IDOR (Insecure Direct Object References)
- Övertagande av underdomän
Lägsta
För en sårbarhet som kräver användarinteraktion eller påverkar enskilda användare
- Cross-Site Scripting (XSS), utom self-XXS
- CSFR (Cross-site Request Forgery)
- URL-omdirigering
- Manipulation av användarens rykte
Observera att belöningsbeloppen kan vara olika. En faktisk belöning kan variera beroende på allvarlighetsgrad, äkthet och exploateringsmöjligheter för buggar såväl som miljön och andra faktorer som påverkar säkerheten.
Sårbarheter för hjälptjänster som Wiki, Blog osv. och sårbarheter i miljöer som inte är produktion, som "beta", "staging", "demo" osv. belönas endast när de påverkar vår tjänst som helhet eller kan orsaka känslig användardata läckage.
Regler
- En felrapport ska innehålla en detaljerad beskrivning av den upptäckta sårbarheten och åtgärder som måste vidtas för att reproducera det eller ett fungerande bevis på konceptet. Om du inte beskriver sårbarhetsinformation kan det ta lång tid att granska rapporten och / eller kan resultera i en avvisning av din rapport.
- Skicka bara in en sårbarhet per rapport, om det inte behövs en kedja av sårbarheter för att visa effekt.
- Endast den första personen som rapporterar en okänd sårbarhet kommer att belönas. Om det förekommer dubbletter kommer vi endast att belöna den första rapporten om sårbarheten kan reproduceras fullständigt.
- Du bör inte använda automatiserade verktyg och skannrar för att hitta sårbarheter eftersom sådana rapporter ignoreras.
- Du bör inte utföra någon attack som kan skada våra tjänster, våra eller kunddata. DDoS, spam, brute force attacks är inte tillåtna.
- Du bör inte involvera andra användare utan sitt uttryckliga samtycke.
- Du bör inte utföra eller försöka utföra icke-tekniska attacker som social manipulation, nätfiske eller fysiska attacker mot våra anställda, användare eller infrastruktur i allmänhet.
- Skicka detaljerade rapporter med reproducerbara steg. Om rapporten inte är tillräckligt detaljerad för att reproducera problemet kommer problemet inte att berättiga till en belöning.
- Flera sårbarheter orsakade av samma underliggande problem kommer att få en belöning.
- Gör vad ni kan för att undvika att bryta mot regler om personintegritet, förstöra data och orsaka avbrott eller försämring av vår tjänster.
Svagheter utanför tillämpningsområdet
Följande problem anses inte relevanta i detta sammanhang:
- sårbarheter i användarens programvara eller sårbarheter som kräver full åtkomst till användarens programvara, konton, e-post, telefon os.;
- sårbarheter eller läckor i tjänster från tredje part;
- sårbarheter eller äldre versioner av programvara / protokoll från tredje part, missat skydd samt avvikelse från bästa praxis som inte skapar ett säkerhetshot;
- sårbarheter utan väsentlig säkerhetspåverkan eller exploateringsmöjlighet;
- sårbarheter som kräver att användaren utför ovanliga åtgärder;
- offentliggörande av offentlig eller icke-känslig information;
- homografattacker;
- sårbarheter som kräver rotade, fängslade eller modifierade enheter och applikationer.
- All typ av aktivitet som kan orsaka avbrott i våra tjänster.
Det finns flera exempel på sårbarheter som inte ger någon belöning:
- EXIF geolokaliseringsdata har inte tagits bort.
- Klickfiske på sidor utan känsliga åtgärder.
- Skadlig exploatering eller så kallad CSRF (Cross-Site Request Forgery) av icke autentiserade formulär eller formulär utan känsliga åtgärder, logga ut CSRF.
- Svag chiffrering eller TLS-konfiguration utan fungerande koncepttest.
- Sårbarheter som gäller bluffsajter eller förfalskat innehåll men inte visar någon angreppsvektor.
- Sårbarheter relaterade till begränsad hastighet eller råstyrka på slutpunkter utan autentisering.
- Saknar HttpOnly eller Secure flags i cookies.
- Uppgifter om programvaruversionen. Problem med identifiering av webbannons. Meddelanden eller rubriker som beskriver fel (exempelvis stackspårning, program- eller serverfel).
- Offentliga nolldagars sårbarheter som har haft en officiell programfix i mindre än en månad kommer att belönas från fall till fall.
- Tabnabbing.
- Användarens existens. Uppräkning av användare, mailadress eller telefonnummer.
- Bristande begränsningar av lösenordets komplexitet.
Skattjägare
Vi vill rikta ett stort tack till forskarna som står uppräknade nedan för deras bidrag.
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh