โปรแกรมเงินรางวัลความผิดพลาดจาก
TradingView
หากคุณต้องการแจ้งให้เราทราบเกี่ยวกับช่องโหว่ โปรดส่งรายงานผ่าน HackerOne
ขอบข่ายของโปรแกรม
เราเสนอรางวัลให้สำหรับการแจ้งที่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัยในบริการ โครงสร้างพื้นฐาน เว็บ และแอพพลิเคชั่นมือถือของเรา อย่างเช่น:
TradingView.com เช่นเดียวกับ subdomains
เนทีฟ iOS แอพ
เนทีฟแอนดรอยด์แอพ
โซลูชันการสร้างแผนภูมิ
Desktop App
รางวัล
รางวัลของคุณจะขึ้นกับช่องโหว่ที่ถูกค้นพบ เช่นเดียวกับผลกระทบต่อความปลอดภัยของมัน ดูรายละเอียดด้านล่าง
สูง
สำหรับช่องโหว่ที่มีผลกระทบกับแพลทฟอร์มทั้งหมดของเรา
- Remote code execution (RCE)
- ได้รับการเข้าถึงระดับแอดมิน
- Injections ที่มีผลกระทบอย่างมีนัยยะสำคัญ
- การเข้าถึงที่ไม่ได้ถูกห้ามไว้ต่อไฟล์ local หรือดาด้าเบส
- Server-side request forgery (SSRF)
- การเปิดเผยข้อมูลที่สำคัญ
กลาง
สำหรับช่องโหว่ที่ไม่ต้องการการดำเนินการใดๆ จากผู้ใช้ และมีผลกระทบต่อผู้ใช้งานหลายๆ คน
- Stored Cross-Site Scripting (XSS) ที่มีผลกระทบอย่างมีนัยยะสำคัญ
- การข้ามการตรวจสอบที่อนุญาตให้เปลี่ยนแปลงข้อมูลผู้ใช้งานหรือเข้าถึงข้อมูลส่วนตัวได้
- Insecure Direct Object References (IDOR)
- การครอบครองโดเมนย่อย
ต่ำ
สำหรับช่องโหว่ที่ต้องการการดำเนินการใดๆ จากผู้ใช้ หรือมีผลกระทบต่อผู้ใช้รายคน
- Cross-Site Scripting (XSS), ยกเว้น self-XSS
- Cross-Site Request Forgery (CSRF)
- URL redirection
- การจัดการชื่อเสียงของผู้ใช้งานแบบไม่ถูกต้อง
โปรดรับทราบว่ามูลค่ารางวัลสามารถเปลี่ยนแปลงได้ รางวัลจริงอาจมีค่าสูงหรือต่ำขึ้นกับความร้ายแรง ความสดใหม่ และโอกาสที่จะหาประโยชน์จากช่องโหว่ เช่นเดียวกับสภาพแวดล้อมและปัจจัยอื่นๆ ที่มีผลกระทบต่อความปลอดภัย
ช่องโหว่ของบริการสนับสนุน อย่างเช่น Wiki, บล็อค เป็นต้น และช่องโหว่ของสภาพแวดล้อมที่ไม่ใช่ระบบโปรดัคชั่น อย่างเช่น 'เบต้า', 'staging', 'เดโม่' เป็นต้น จะได้รางวัลได้ก็ต่อเมื่อมันมีผลกระทบต่อบริการของเราแบบทั้งหมด หรืออาจเป็นสาเหตุให้เกิดการรั่วไหลของข้อมูลลูกค้าที่อ่อนไหวได้เท่านั้น
กฎระเบียบ
- การรายงานข้อผิดพลาดควรรวมคำอธิบายละเอียดของช่องโหว่ที่พบและขั้นตอนที่จำเป็นต้องทำเพื่อที่จะทำมันใหม่ หรือแนวคิดที่พิสูจน์ว่าใช้งานได้ ถ้าคุณไม่อธิบายรายละเอียดของช่องโหว่ดังนั้นมันจะใช้เวลานานที่จะทบทวนรายงาน และ/หรือ ให้ผลปฎิเสธรายงานของคุณ
- โปรดส่งเพียงหนึ่งช่องโหว่ต่อรายงาน เว้นแต่คุณจะต้องเชื่อมโยงช่องโหว่เพื่อสร้างผลกระทบ
- เฉพาะบุคคลแรกที่รายงานช่องโหว่ที่ไม่รู้จักเท่านั้นที่จะได้รับรางวัล เมื่อเกิดการทำซ้ำ เราจะให้รางวัลแก่รายงานฉบับแรกเท่านั้น หากช่องโหว่นั้นสามารถทำซ้ำได้อย่างสมบูรณ์
- คุณไม่ควรใช้เครื่องมืออัตโนมัติ และสแกนเนอร์ในการค้นหาช่องโหว่ เนื่องจากการแจ้งเหล่านั้นจะไม่ถูกนำมาพิจารณา
- คุณไม่ควรดำเนินการโจมตีใดๆ ที่สามารถทำลายบริการต่างๆ หรือข้อมูลของเรา ซึ่งประกอบไปด้วยข้อมูลลูกค้า DDos, สแปม, การโจมตีแบบบรูทฟอร์ซไม่ได้รับอนุญาตให้ทำ
- คุณไม่ควรยุ่งเกี่ยวกับผู้ใช้อื่นโดยไม่ได้รับความยินยอมอย่างชัดเจน
- คุณไม่ควรดำเนินการ หรือพยายามทำการโจมตีแบบ non-technical เช่น social engineering พิชชิ่ง หรือการโจมตีทางด้านร่างกายต่างๆ ต่อพนักงาน ผู้ใช้งาน ระบบโครงสร้างพื้นฐานของเรา
- โปรดจัดทำรายงานโดยละเอียดพร้อมขั้นตอนที่ทำซ้ำได้ หากรายงานมีรายละเอียดไม่เพียงพอที่จะทำซ้ำปัญหา ปัญหานั้นจะไม่มีสิทธิ์ได้รับรางวัล
- ช่องโหว่หลายจุดที่เกิดจากปัญหาหนึ่งๆ จะได้รับรางวัลหนึ่งรางวัล
- โปรดใช้ความพยายามอย่างบริสุทธิ์ใจเพื่อหลีกเลี่ยงการละเมิดความเป็นส่วนตัว การทำลายข้อมูล และการหยุดชะงักหรือการลดคุณภาพบริการของเรา
ช่องโหว่นอกขอบเขต
ประเด็นต่อไปนี้ถือว่าอยู่นอกขอบเขต:
- ช่องโหว่ในซอฟท์แวร์ของผู้ใช้งาน หรือช่องโหว่ที่ต้องมีการเข้าถึงแบบเต็มรูปแบบในซอฟท์แวร์ของผู้ใช้งาน, บัญชี, อีเมล์, โทรศัพท์ เป็นต้น
- ช่องโหว่หรือรอยรั่วในบริการของบุคคลที่สาม;
- ช่องโหว่หรือเวอร์ชั่นเก่าของซอฟท์แวร์/โปรโตคอลของบุคคลที่สาม, การไม่ได้ป้องกัน เช่นเดียวกับการไม่ได้ปฏิบัติตามแนวปฏิบัติที่ดีที่สุดที่ไม่ได้สร้างการคุกคามทางความปลอดภัย;
- ช่องโหว่ที่ไม่ได้มีผลกระทบทางความปลอดภัยอย่างมากหรือโอกาสในการแสวงหาประโยชน์อย่างไม่ถูกต้อง;
- ช่องโหว่ที่ต้องให้ผู้ใช้งานมีการดำเนินการกระทำแบบไม่ปกติ;
- การเปิดเผยข้อมูลสาธารณะหรือข้อมูลที่ไม่อ่อนไหว;
- Homograph attacks;
- ช่องโหว่ที่ต้องอาศัยการทำรูท, เจลเบรค หรือดัดแปลงอุปกรณ์หรือแอพพลิเคชั่น
- กิจกรรมใด ๆ ที่อาจนำไปสู่การหยุดชะงักของบริการของเรา
มีหลายตัวอย่างของช่องโหว่ดังกล่าวที่ไม่ได้รับรางวัล:
- ข้อมูลตำแหน่งทางภูมิศาสตร์ EXIF ไม่ถูกแยกออก
- Clickjacking บนหน้าเว็บที่ไม่มีการกระทำที่ละเอียดอ่อน
- การปลอมแปลงคำขอข้ามไซต์ (CSRF) ในแบบฟอร์มที่ไม่ผ่านการรับรองความถูกต้องหรือแบบฟอร์มที่ไม่มีการกระทำที่ละเอียดอ่อน ออกจากระบบ CSRF
- การเข้ารหัสที่อ่อนแอหรือการกำหนดค่า TLS โดยไม่มีหลักฐานแนวคิดที่ใช้งานได้
- ปัญหาการปลอมแปลงหรือแทรกเนื้อหาโดยไม่แสดงเวกเตอร์โจมตี
- ปัญหาการจำกัดอัตราหรือกำลังรุนแรงในจุดสิ้นสุดที่ไม่ผ่านการรับรองความถูกต้อง
- ไม่มีการตั้งค่าสถานะ HttpOnly หรือ Secure บนคุกกี้
- การเปิดเผยเวอร์ชันของซอฟต์แวร์ ปัญหาการระบุแบนเนอร์ ข้อความแสดงข้อผิดพลาดหรือส่วนหัวที่เป็นคำอธิบาย (เช่น สแต็กเทรซ ข้อผิดพลาดของแอปพลิเคชันหรือเซิร์ฟเวอร์)
- ช่องโหว่ zero-day สาธารณะที่มีแพตช์อย่างเป็นทางการน้อยกว่า 1 เดือนจะมอบให้เป็นกรณีไป
- แท็บนาบิง
- การมีอยู่ของผู้ใช้ การแจงนับผู้ใช้ อีเมล หรือหมายเลขโทรศัพท์
- ไม่มีข้อจำกัดด้านความซับซ้อนของรหัสผ่าน
นักล่าเงินรางวัล
เราอยากจะขอบคุณนักวิจัยด้านล่างนี้จากใจจริงสำหรับการสนับสนุนช่วยเหลือของพวกเขา
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh