TradingView Bugg-belönings program
Om du har hittat ett säkerhetsfel och vill rapportera det till oss, vänligen maila oss på
Programmets omfattning
Vi erbjuder belöningar för rapporter som täcker säkerhetsproblem i våra tjänster, infrastruktur, webb- och mobilapplikationer som:
TradingView.com såväl som underdomäner
Nativ iOS-app
Nativ Android-app
Diagrambibliotek och tradingterminal
Belöningar
Din belöning beror på den upptäckta sårbarheten och dess säkerhetspåverkan. Se detaljerna nedan.
upp till$1500
För en sårbarhet som påverkar hela vår plattform
- RCE (Remote code exekution)
- Få administratörsbehörighet
- Injektioner med betydande påverkan
- Obegränsad åtkomst till lokala filer eller databaser
- SSRF (Server-side forgery)
- Offentliggörande av kritisk information
upp till$700
För en sårbarhet som inte kräver användarinteraktion och påverkar många användare
- Lagrad Cross-Site Scripting (XSS) med en betydande inverkan
- En autentiseringsbypass som möjliggör ändring av användardata eller åtkomst till privata data
- IDOR (Insecure Direct Object References)
upp till$300
För en sårbarhet som kräver användarinteraktion eller påverkar enskilda användare
- Cross-Site Scripting (XSS), utom self-XXS
- CSFR (Cross-site Request Forgery)
- URL-omdirigering
- Manipulation av användarens rykte
Observera att belöningsbeloppen kan vara olika. En faktisk belöning kan variera beroende på allvarlighetsgrad, äkthet och exploateringsmöjligheter för buggar såväl som miljön och andra faktorer som påverkar säkerheten.
Sårbarheter för hjälptjänster som Wiki, Blog osv. och sårbarheter i miljöer som inte är produktion, som "beta", "staging", "demo" osv. belönas endast när de påverkar vår tjänst som helhet eller kan orsaka känslig användardata läckage.
Du behöver ett PayPal-ID eftersom vi använder PayPal för att utfärda belöningar.
Du kommer INTE att få en belöning för upptäckten av följande sårbarheter:
- du är inte den första som rapporterar denna sårbarhet;
- sårbarheter i användarens programvara eller sårbarheter som kräver full åtkomst till användarens programvara, konton, e-post, telefon os.;;
- sårbarheter eller läckor i tjänster från tredje part;
- sårbarheter eller äldre versioner av programvara / protokoll från tredje part, missat skydd samt avvikelse från bästa praxis som inte skapar ett säkerhetshot;
- sårbarheter utan väsentlig säkerhetspåverkan eller exploateringsmöjlighet;
- sårbarheter som kräver att användaren utför ovanliga åtgärder;
- offentliggörande av offentlig eller icke-känslig information;
- homografattacker;
- sårbarheter som kräver rotade, fängslade eller modifierade enheter och applikationer.
Regler
- Var tålmodig eftersom rapporter granskas inom två veckor och vi behöver ibland mer tid för att lösa problemet.
- En felrapport ska innehålla en detaljerad beskrivning av den upptäckta sårbarheten och åtgärder som måste vidtas för att reproducera det eller ett fungerande bevis på konceptet. Om du inte beskriver sårbarhetsinformation kan det ta lång tid att granska rapporten och / eller kan resultera i en avvisning av din rapport.
- Du bör inte använda automatiserade verktyg och skannrar för att hitta sårbarheter eftersom sådana rapporter ignoreras.
- Du bör inte utföra någon attack som kan skada våra tjänster, våra eller kunddata. DDoS, spam, brute force attacks är inte tillåtna.
- Du bör inte involvera andra användare utan sitt uttryckliga samtycke.
- Du bör inte utföra eller försöka utföra icke-tekniska attacker som social manipulation, nätfiske eller fysiska attacker mot våra anställda, användare eller infrastruktur i allmänhet.
Skattjägare
Vi vill rikta ett stort tack till forskarna som står uppräknade nedan för deras bidrag.
