เริ่มกันเลย

โปรแกรม Bug Bounty

พบช่องโหว่บนแพลตฟอร์มของเราใช่ไหม? แจ้งให้เราทราบ

เกี่ยวกับโปรแกรม

รับรางวัลสำหรับการช่วยเราปรับปรุงแพลตฟอร์มของเรา รายงานอาจครอบคลุมถึงช่องโหว่ด้านความปลอดภัยในบริการ โครงสร้างพื้นฐาน และแอปพลิเคชันของเรา

เว็บไซต์

ปัญหาบน TradingView.com และโดเมนย่อย

แอปมือถือ

ปัญหาบนแพลตฟอร์ม iOS และ Android

โซลูชันการสร้างชาร์ต 

ข้อผิดพลาดในเครื่องมือ วิดเจ็ต หรือ API

Desktop App

จุดบกพร่องหรือปัญหาด้านประสิทธิภาพบน Desktop App

ระดับรางวัล

รางวัลที่คุณจะได้รับขึ้นอยู่กับประเภทของช่องโหว่ที่รายงานและผลกระทบด้านความปลอดภัยโดยรวม

  • Remote Code Execution (RCE) หรือการเข้าถึงของผู้ดูแลระบบ
  • ช่องโหว่การโจมตีแบบแทรกเข้ามาที่มีผลกระทบสูง
  • การเข้าถึงที่ไม่ได้ถูกห้ามไว้กับไฟล์ในเครื่องหรือฐานข้อมูล
  • การข้ามขั้นตอนการตรวจสอบสิทธิ์ที่อนุญาตให้แก้ไขข้อมูลผู้ใช้งานหรือเข้าถึงข้อมูลส่วนตัว
  • การครอบครองโดเมนย่อย
  • ข้อผิดพลาดทางตรรกะที่ส่งผลกระทบทางการเงิน เช่น การได้รับสิทธิ์ใช้งานฟรี
  • Cross-site scripting (XSS), ยกเว้น self-XSS
  • Cross-Site Request Forgery (CSRF)
  • การบิดเบือนชื่อเสียงของผู้ใช้งาน
  • ช่องโหว่การโจมตีแบบแทรกเข้ามาที่มีผลกระทบต่ำ
  • การข้ามข้อจำกัดของผู้ใช้งาน

จำนวนรางวัลอาจแตกต่างกันไป รางวัลที่ได้รับจริงอาจเปลี่ยนแปลงไปขึ้นอยู่กับความร้ายแรง ความถูกต้อง และความเป็นไปได้ในการใช้ประโยชน์จากช่องโหว่ รวมถึงสภาพแวดล้อมและปัจจัยอื่นๆ ที่ส่งผลต่อความปลอดภัย

ช่องโหว่ของบริการสนับสนุน อย่างเช่น Wiki, บล็อค เป็นต้น และช่องโหว่ของสภาพแวดล้อมที่ไม่ใช่ระบบโปรดัคชั่น อย่างเช่น 'เบต้า', 'staging', 'เดโม่' เป็นต้น จะได้รางวัลได้ก็ต่อเมื่อมันมีผลกระทบต่อบริการของเราแบบทั้งหมด หรืออาจเป็นสาเหตุให้เกิดการรั่วไหลของข้อมูลลูกค้าที่อ่อนไหวได้เท่านั้น

กฎระเบียบ

  1. การรายงานข้อผิดพลาดควรรวมคำอธิบายละเอียดของช่องโหว่ที่พบและขั้นตอนที่จำเป็นต้องทำเพื่อที่จะทำมันใหม่ หรือแนวคิดที่พิสูจน์ว่าใช้งานได้ ถ้าคุณไม่อธิบายรายละเอียดของช่องโหว่ดังนั้นมันจะใช้เวลานานที่จะทบทวนรายงาน และ/หรือ ให้ผลปฎิเสธรายงานของคุณ
  2. โปรดส่งเพียงหนึ่งช่องโหว่ต่อรายงาน เว้นแต่คุณจะต้องเชื่อมโยงช่องโหว่เพื่อสร้างผลกระทบ
  3. เฉพาะบุคคลแรกที่รายงานช่องโหว่ที่ไม่รู้จักเท่านั้นที่จะได้รับรางวัล เมื่อเกิดการทำซ้ำ เราจะให้รางวัลแก่รายงานฉบับแรกเท่านั้น หากช่องโหว่นั้นสามารถทำซ้ำได้อย่างสมบูรณ์
  4. คุณไม่ควรใช้เครื่องมืออัตโนมัติ และสแกนเนอร์ในการค้นหาช่องโหว่ เนื่องจากการแจ้งเหล่านั้นจะไม่ถูกนำมาพิจารณา
  5. คุณไม่ควรทำการโจมตีใดๆ ที่อาจสร้างความเสียหายให้กับบริการหรือข้อมูลของเรา รวมถึงข้อมูลลูกค้า หากตรวจพบว่ามีการโจมตีแบบ DDoS การส่งสแปม และการโจมตีแบบ Brute Force เกิดขึ้น จะไม่ได้รับรางวัลใดๆ
  6. คุณไม่ควรยุ่งเกี่ยวกับผู้ใช้อื่นโดยไม่ได้รับความยินยอมอย่างชัดเจน
  7. คุณไม่ควรดำเนินการ หรือพยายามทำการโจมตีแบบ non-technical เช่น social engineering พิชชิ่ง หรือการโจมตีทางด้านร่างกายต่างๆ ต่อพนักงาน ผู้ใช้งาน ระบบโครงสร้างพื้นฐานของเรา
  8. โปรดจัดทำรายงานโดยละเอียดพร้อมขั้นตอนที่ทำซ้ำได้ หากรายงานมีรายละเอียดไม่เพียงพอที่จะทำซ้ำปัญหา ปัญหานั้นจะไม่มีสิทธิ์ได้รับรางวัล
  9. ช่องโหว่หลายจุดที่เกิดจากปัญหาหนึ่งๆ จะได้รับรางวัลหนึ่งรางวัล
  10. โปรดใช้ความพยายามอย่างบริสุทธิ์ใจเพื่อหลีกเลี่ยงการละเมิดความเป็นส่วนตัว การทำลายข้อมูล และการหยุดชะงักหรือการลดคุณภาพบริการของเรา

ช่องโหว่นอกขอบเขต

ประเด็นต่อไปนี้ถือว่าอยู่นอกขอบเขต

  • ช่องโหว่ในซอฟท์แวร์ของผู้ใช้งาน หรือช่องโหว่ที่ต้องมีการเข้าถึงแบบเต็มรูปแบบในซอฟท์แวร์ของผู้ใช้งาน, บัญชี, อีเมล, โทรศัพท์ เป็นต้น
  • ช่องโหว่หรือรอยรั่วในบริการของบุคคลที่สาม
  • ช่องโหว่หรือเวอร์ชั่นเก่าของซอฟท์แวร์/โปรโตคอลของบุคคลที่สาม, การไม่ได้ป้องกัน เช่นเดียวกับการไม่ได้ปฏิบัติตามแนวปฏิบัติที่ดีที่สุดที่ไม่ได้สร้างการคุกคามทางความปลอดภัย
  • ช่องโหว่ที่ไม่ได้มีผลกระทบทางความปลอดภัยอย่างมากหรือโอกาสในการแสวงหาประโยชน์อย่างไม่ถูกต้อง
  • ช่องโหว่ที่ต้องให้ผู้ใช้งานมีการดำเนินการกระทำแบบไม่ปกติ
  • การเปิดเผยข้อมูลสาธารณะหรือข้อมูลที่ไม่เป็นส่วนตัว
  • Homograph attacks
  • ช่องโหว่ที่ต้องอาศัยการทำรูท, เจลเบรค หรือดัดแปลงอุปกรณ์หรือแอปพลิเคชั่น
  • กิจกรรมใด ๆ ที่อาจนำไปสู่การหยุดชะงักของบริการของเรา

มีหลายตัวอย่างของช่องโหว่ดังกล่าวที่ไม่ได้รับรางวัล

  • ข้อมูลตำแหน่งทางภูมิศาสตร์ EXIF ไม่ถูกแยกออก
  • Clickjacking บนหน้าเว็บที่ไม่มีการกระทำที่ละเอียดอ่อน
  • การปลอมแปลงคำขอข้ามไซต์ (CSRF) ในแบบฟอร์มที่ไม่ผ่านการรับรองความถูกต้องหรือแบบฟอร์มที่ไม่มีการกระทำที่ละเอียดอ่อน ออกจากระบบ CSRF
  • การเข้ารหัสที่อ่อนแอหรือการกำหนดค่า TLS โดยไม่มีหลักฐานแนวคิดที่ใช้งานได้
  • ปัญหาการปลอมแปลงหรือแทรกเนื้อหาโดยไม่แสดงเวกเตอร์โจมตี
  • ปัญหาการจำกัดอัตราหรือกำลังรุนแรงในจุดสิ้นสุดที่ไม่ผ่านการรับรองความถูกต้อง
  • ไม่มีการตั้งค่าสถานะ HttpOnly หรือ Secure บนคุกกี้
  • การเปิดเผยเวอร์ชันของซอฟต์แวร์ ปัญหาการระบุแบนเนอร์ ข้อความแสดงข้อผิดพลาดหรือส่วนหัวที่เป็นคำอธิบาย (เช่น สแต็กเทรซ ข้อผิดพลาดของแอปพลิเคชันหรือเซิร์ฟเวอร์)
  • ช่องโหว่ zero-day สาธารณะที่มีแพตช์อย่างเป็นทางการน้อยกว่า 1 เดือนจะมอบให้เป็นกรณีไป
  • Tabnabbing
  • การมีอยู่ของผู้ใช้ การแจงนับผู้ใช้ อีเมล หรือหมายเลขโทรศัพท์
  • ขาดข้อจำกัดด้านความซับซ้อนของรหัสผ่าน