โปรแกรมเงินรางวัลความผิดพลาดจาก

TradingView

หากคุณต้องการแจ้งให้เราทราบเกี่ยวกับช่องโหว่ โปรดส่งรายงานผ่าน HackerOne

ขอบข่ายของโปรแกรม

เราเสนอรางวัลให้สำหรับการแจ้งที่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัยในบริการ โครงสร้างพื้นฐาน เว็บ และแอพพลิเคชั่นมือถือของเรา อย่างเช่น:

TradingView.com เช่นเดียวกับ subdomains

เนทีฟ iOS แอพ

เนทีฟแอนดรอยด์แอพ

Charting solutions

แอปพลิเคชั่นเดสก์ท็อป

รางวัล

รางวัลของคุณจะขึ้นกับช่องโหว่ที่ถูกค้นพบ เช่นเดียวกับผลกระทบต่อความปลอดภัยของมัน ดูรายละเอียดด้านล่าง

High

สำหรับช่องโหว่ที่มีผลกระทบกับแพลทฟอร์มทั้งหมดของเรา

  • Remote code execution (RCE)
  • ได้รับการเข้าถึงระดับแอดมิน
  • Injections ที่มีผลกระทบอย่างมีนัยยะสำคัญ
  • การเข้าถึงที่ไม่ได้ถูกห้ามไว้ต่อไฟล์ local หรือดาด้าเบส
  • Server-side request forgery (SSRF)
  • การเปิดเผยข้อมูลที่สำคัญ

Medium

สำหรับช่องโหว่ที่ไม่ต้องการการดำเนินการใดๆ จากผู้ใช้ และมีผลกระทบต่อผู้ใช้งานหลายๆ คน

  • Stored Cross-Site Scripting (XSS) ที่มีผลกระทบอย่างมีนัยยะสำคัญ
  • การข้ามการตรวจสอบที่อนุญาตให้เปลี่ยนแปลงข้อมูลผู้ใช้งานหรือเข้าถึงข้อมูลส่วนตัวได้
  • Insecure Direct Object References (IDOR)
  • Subdomain takeover

Low

สำหรับช่องโหว่ที่ต้องการการดำเนินการใดๆ จากผู้ใช้ หรือมีผลกระทบต่อผู้ใช้รายคน

  • Cross-Site Scripting (XSS), ยกเว้น self-XSS
  • Cross-Site Request Forgery (CSRF)
  • URL redirection
  • การจัดการชื่อเสียงของผู้ใช้งานแบบไม่ถูกต้อง

โปรดรับทราบว่ามูลค่ารางวัลสามารถเปลี่ยนแปลงได้ รางวัลจริงอาจมีค่าสูงหรือต่ำขึ้นกับความร้ายแรง ความสดใหม่ และโอกาสที่จะหาประโยชน์จากช่องโหว่ เช่นเดียวกับสภาพแวดล้อมและปัจจัยอื่นๆ ที่มีผลกระทบต่อความปลอดภัย

ช่องโหว่ของบริการสนับสนุน อย่างเช่น Wiki, บล็อค เป็นต้น และช่องโหว่ของสภาพแวดล้อมที่ไม่ใช่ระบบโปรดัคชั่น อย่างเช่น 'เบต้า', 'staging', 'เดโม่' เป็นต้น จะได้รางวัลได้ก็ต่อเมื่อมันมีผลกระทบต่อบริการของเราแบบทั้งหมด หรืออาจเป็นสาเหตุให้เกิดการรั่วไหลของข้อมูลลูกค้าที่อ่อนไหวได้เท่านั้น

กฎระเบียบ

  1. การรายงานข้อผิดพลาดควรรวมคำอธิบายละเอียดของช่องโหว่ที่พบและขั้นตอนที่จำเป็นต้องทำเพื่อที่จะทำมันใหม่ หรือแนวคิดที่พิสูจน์ว่าใช้งานได้ ถ้าคุณไม่อธิบายรายละเอียดของช่องโหว่ดังนั้นมันจะใช้เวลานานที่จะทบทวนรายงาน และ/หรือ ให้ผลปฎิเสธรายงานของคุณ
  2. Please only submit one vulnerability per report, unless you need to chain vulnerabilities to provide impact.
  3. Only the first person to report an unknown vulnerability will be rewarded. When duplicates occur, we will only award the first report if the vulnerability can be fully reproduced.
  4. คุณไม่ควรใช้เครื่องมืออัตโนมัติ และสแกนเนอร์ในการค้นหาช่องโหว่ เนื่องจากการแจ้งเหล่านั้นจะไม่ถูกนำมาพิจารณา
  5. คุณไม่ควรดำเนินการโจมตีใดๆ ที่สามารถทำลายบริการต่างๆ หรือข้อมูลของเรา ซึ่งประกอบไปด้วยข้อมูลลูกค้า DDos, สแปม, การโจมตีแบบบรูทฟอร์ซไม่ได้รับอนุญาตให้ทำ
  6. คุณไม่ควรยุ่งเกี่ยวกับผู้ใช้อื่นโดยไม่ได้รับความยินยอมอย่างชัดเจน
  7. คุณไม่ควรดำเนินการ หรือพยายามทำการโจมตีแบบ non-technical เช่น social engineering พิชชิ่ง หรือการโจมตีทางด้านร่างกายต่างๆ ต่อพนักงาน ผู้ใช้งาน ระบบโครงสร้างพื้นฐานของเรา
  8. Please provide detailed reports with reproducible steps. If the report is not detailed enough to reproduce the issue, the issue will not be eligible for a reward.
  9. Multiple vulnerabilities caused by one underlying issue will be awarded one bounty.
  10. Please make a good faith effort to avoid privacy violations, destruction of data, and interruption or degradation of our service.

Out of scope vulnerabilities

The following issues are considered out of scope:

  • ช่องโหว่ในซอฟท์แวร์ของผู้ใช้งาน หรือช่องโหว่ที่ต้องมีการเข้าถึงแบบเต็มรูปแบบในซอฟท์แวร์ของผู้ใช้งาน, บัญชี, อีเมล์, โทรศัพท์ เป็นต้น
  • ช่องโหว่หรือรอยรั่วในบริการของบุคคลที่สาม;
  • ช่องโหว่หรือเวอร์ชั่นเก่าของซอฟท์แวร์/โปรโตคอลของบุคคลที่สาม, การไม่ได้ป้องกัน เช่นเดียวกับการไม่ได้ปฏิบัติตามแนวปฏิบัติที่ดีที่สุดที่ไม่ได้สร้างการคุกคามทางความปลอดภัย;
  • ช่องโหว่ที่ไม่ได้มีผลกระทบทางความปลอดภัยอย่างมากหรือโอกาสในการแสวงหาประโยชน์อย่างไม่ถูกต้อง;
  • ช่องโหว่ที่ต้องให้ผู้ใช้งานมีการดำเนินการกระทำแบบไม่ปกติ;
  • การเปิดเผยข้อมูลสาธารณะหรือข้อมูลที่ไม่อ่อนไหว;
  • Homograph attacks;
  • ช่องโหว่ที่ต้องอาศัยการทำรูท, เจลเบรค หรือดัดแปลงอุปกรณ์หรือแอพพลิเคชั่น
  • Any activity that could lead to the disruption of our service.

There are several examples of such vulnerabilities that are not rewarded:

  • EXIF geolocation data not stripped.
  • Clickjacking on pages with no sensitive actions.
  • Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions, logout CSRF.
  • Weak ciphers or TLS configuration without a working Proof of Concept.
  • Content spoofing or injection issues without showing an attack vector.
  • Rate limiting or brute force issues on non-authentication endpoints.
  • Missing HttpOnly or Secure flags on cookies.
  • Software version disclosure. Banner identification issues. Descriptive error messages or headers (e.g. stack traces, application or server errors).
  • Public zero-day vulnerabilities that have had an official patch for less than 1 month will be awarded on a case by case basis.
  • Tabnabbing.
  • User existence. User, email or phone number enumeration.
  • Lack of password complexity restrictions.

นักล่าเงินรางวัล

เราอยากจะขอบคุณนักวิจัยด้านล่างนี้จากใจจริงสำหรับการสนับสนุนช่วยเหลือของพวกเขา

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague