โปรแกรมเงินรางวัลความผิดพลาดจาก

TradingView

หากคุณต้องการแจ้งให้เราทราบเกี่ยวกับช่องโหว่ โปรดส่งรายงานผ่าน HackerOne

ขอบข่ายของโปรแกรม

เราเสนอรางวัลให้สำหรับการแจ้งที่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัยในบริการ โครงสร้างพื้นฐาน เว็บ และแอพพลิเคชั่นมือถือของเรา อย่างเช่น:

TradingView.com เช่นเดียวกับ subdomains

เนทีฟ iOS App

เนทีฟ Android App

Desktop App

รางวัล

รางวัลของคุณจะขึ้นกับช่องโหว่ที่ถูกค้นพบ เช่นเดียวกับผลกระทบต่อความปลอดภัยของมัน ดูรายละเอียดด้านล่าง

สูง

สำหรับช่องโหว่ที่มีผลกระทบกับแพลทฟอร์มทั้งหมดของเรา

  • Remote code execution (RCE)
  • ได้รับการเข้าถึงระดับแอดมิน
  • Injections ที่มีผลกระทบอย่างมีนัยยะสำคัญ
  • การเข้าถึงที่ไม่ได้ถูกห้ามไว้ต่อไฟล์ local หรือดาด้าเบส
  • Server-side request forgery (SSRF)
  • การเปิดเผยข้อมูลที่สำคัญ

กลาง

สำหรับช่องโหว่ที่ไม่ต้องการการดำเนินการใดๆ จากผู้ใช้ และมีผลกระทบต่อผู้ใช้งานหลายๆ คน

  • Stored Cross-Site Scripting (XSS) ที่มีผลกระทบอย่างมีนัยยะสำคัญ
  • การข้ามการตรวจสอบที่อนุญาตให้เปลี่ยนแปลงข้อมูลผู้ใช้งานหรือเข้าถึงข้อมูลส่วนตัวได้
  • Insecure Direct Object References (IDOR)
  • การครอบครองโดเมนย่อย

ต่ำ

สำหรับช่องโหว่ที่ต้องการการดำเนินการใดๆ จากผู้ใช้ หรือมีผลกระทบต่อผู้ใช้รายคน

  • Cross-Site Scripting (XSS), ยกเว้น self-XSS
  • Cross-Site Request Forgery (CSRF)
  • URL redirection
  • การจัดการชื่อเสียงของผู้ใช้งานแบบไม่ถูกต้อง

โปรดรับทราบว่ามูลค่ารางวัลสามารถเปลี่ยนแปลงได้ รางวัลจริงอาจมีค่าสูงหรือต่ำขึ้นกับความร้ายแรง ความสดใหม่ และโอกาสที่จะหาประโยชน์จากช่องโหว่ เช่นเดียวกับสภาพแวดล้อมและปัจจัยอื่นๆ ที่มีผลกระทบต่อความปลอดภัย

ช่องโหว่ของบริการสนับสนุน อย่างเช่น Wiki, บล็อค เป็นต้น และช่องโหว่ของสภาพแวดล้อมที่ไม่ใช่ระบบโปรดัคชั่น อย่างเช่น 'เบต้า', 'staging', 'เดโม่' เป็นต้น จะได้รางวัลได้ก็ต่อเมื่อมันมีผลกระทบต่อบริการของเราแบบทั้งหมด หรืออาจเป็นสาเหตุให้เกิดการรั่วไหลของข้อมูลลูกค้าที่อ่อนไหวได้เท่านั้น

กฎระเบียบ

  1. การรายงานข้อผิดพลาดควรรวมคำอธิบายละเอียดของช่องโหว่ที่พบและขั้นตอนที่จำเป็นต้องทำเพื่อที่จะทำมันใหม่ หรือแนวคิดที่พิสูจน์ว่าใช้งานได้ ถ้าคุณไม่อธิบายรายละเอียดของช่องโหว่ดังนั้นมันจะใช้เวลานานที่จะทบทวนรายงาน และ/หรือ ให้ผลปฎิเสธรายงานของคุณ
  2. โปรดส่งเพียงหนึ่งช่องโหว่ต่อรายงาน เว้นแต่คุณจะต้องเชื่อมโยงช่องโหว่เพื่อสร้างผลกระทบ
  3. เฉพาะบุคคลแรกที่รายงานช่องโหว่ที่ไม่รู้จักเท่านั้นที่จะได้รับรางวัล เมื่อเกิดการทำซ้ำ เราจะให้รางวัลแก่รายงานฉบับแรกเท่านั้น หากช่องโหว่นั้นสามารถทำซ้ำได้อย่างสมบูรณ์
  4. คุณไม่ควรใช้เครื่องมืออัตโนมัติ และสแกนเนอร์ในการค้นหาช่องโหว่ เนื่องจากการแจ้งเหล่านั้นจะไม่ถูกนำมาพิจารณา
  5. คุณไม่ควรดำเนินการโจมตีใดๆ ที่สามารถทำลายบริการต่างๆ หรือข้อมูลของเรา ซึ่งประกอบไปด้วยข้อมูลลูกค้า DDos, สแปม, การโจมตีแบบบรูทฟอร์ซไม่ได้รับอนุญาตให้ทำ
  6. คุณไม่ควรยุ่งเกี่ยวกับผู้ใช้อื่นโดยไม่ได้รับความยินยอมอย่างชัดเจน
  7. คุณไม่ควรดำเนินการ หรือพยายามทำการโจมตีแบบ non-technical เช่น social engineering พิชชิ่ง หรือการโจมตีทางด้านร่างกายต่างๆ ต่อพนักงาน ผู้ใช้งาน ระบบโครงสร้างพื้นฐานของเรา
  8. โปรดจัดทำรายงานโดยละเอียดพร้อมขั้นตอนที่ทำซ้ำได้ หากรายงานมีรายละเอียดไม่เพียงพอที่จะทำซ้ำปัญหา ปัญหานั้นจะไม่มีสิทธิ์ได้รับรางวัล
  9. ช่องโหว่หลายจุดที่เกิดจากปัญหาหนึ่งๆ จะได้รับรางวัลหนึ่งรางวัล
  10. โปรดใช้ความพยายามอย่างบริสุทธิ์ใจเพื่อหลีกเลี่ยงการละเมิดความเป็นส่วนตัว การทำลายข้อมูล และการหยุดชะงักหรือการลดคุณภาพบริการของเรา

ช่องโหว่นอกขอบเขต

ประเด็นต่อไปนี้ถือว่าอยู่นอกขอบเขต:

  • ช่องโหว่ในซอฟท์แวร์ของผู้ใช้งาน หรือช่องโหว่ที่ต้องมีการเข้าถึงแบบเต็มรูปแบบในซอฟท์แวร์ของผู้ใช้งาน, บัญชี, อีเมล์, โทรศัพท์ เป็นต้น
  • ช่องโหว่หรือรอยรั่วในบริการของบุคคลที่สาม;
  • ช่องโหว่หรือเวอร์ชั่นเก่าของซอฟท์แวร์/โปรโตคอลของบุคคลที่สาม, การไม่ได้ป้องกัน เช่นเดียวกับการไม่ได้ปฏิบัติตามแนวปฏิบัติที่ดีที่สุดที่ไม่ได้สร้างการคุกคามทางความปลอดภัย;
  • ช่องโหว่ที่ไม่ได้มีผลกระทบทางความปลอดภัยอย่างมากหรือโอกาสในการแสวงหาประโยชน์อย่างไม่ถูกต้อง;
  • ช่องโหว่ที่ต้องให้ผู้ใช้งานมีการดำเนินการกระทำแบบไม่ปกติ;
  • การเปิดเผยข้อมูลสาธารณะหรือข้อมูลที่ไม่อ่อนไหว;
  • Homograph attacks;
  • ช่องโหว่ที่ต้องอาศัยการทำรูท, เจลเบรค หรือดัดแปลงอุปกรณ์หรือแอพพลิเคชั่น
  • กิจกรรมใด ๆ ที่อาจนำไปสู่การหยุดชะงักของบริการของเรา

มีหลายตัวอย่างของช่องโหว่ดังกล่าวที่ไม่ได้รับรางวัล:

  • ข้อมูลตำแหน่งทางภูมิศาสตร์ EXIF ไม่ถูกแยกออก
  • Clickjacking บนหน้าเว็บที่ไม่มีการกระทำที่ละเอียดอ่อน
  • การปลอมแปลงคำขอข้ามไซต์ (CSRF) ในแบบฟอร์มที่ไม่ผ่านการรับรองความถูกต้องหรือแบบฟอร์มที่ไม่มีการกระทำที่ละเอียดอ่อน ออกจากระบบ CSRF
  • การเข้ารหัสที่อ่อนแอหรือการกำหนดค่า TLS โดยไม่มีหลักฐานแนวคิดที่ใช้งานได้
  • ปัญหาการปลอมแปลงหรือแทรกเนื้อหาโดยไม่แสดงเวกเตอร์โจมตี
  • ปัญหาการจำกัดอัตราหรือกำลังรุนแรงในจุดสิ้นสุดที่ไม่ผ่านการรับรองความถูกต้อง
  • ไม่มีการตั้งค่าสถานะ HttpOnly หรือ Secure บนคุกกี้
  • การเปิดเผยเวอร์ชันของซอฟต์แวร์ ปัญหาการระบุแบนเนอร์ ข้อความแสดงข้อผิดพลาดหรือส่วนหัวที่เป็นคำอธิบาย (เช่น สแต็กเทรซ ข้อผิดพลาดของแอปพลิเคชันหรือเซิร์ฟเวอร์)
  • ช่องโหว่ zero-day สาธารณะที่มีแพตช์อย่างเป็นทางการน้อยกว่า 1 เดือนจะมอบให้เป็นกรณีไป
  • แท็บนาบิง
  • การมีอยู่ของผู้ใช้ การแจงนับผู้ใช้ อีเมล หรือหมายเลขโทรศัพท์
  • ไม่มีข้อจำกัดด้านความซับซ้อนของรหัสผ่าน

นักล่าเงินรางวัล

เราอยากจะขอบคุณนักวิจัยด้านล่างนี้จากใจจริงสำหรับการสนับสนุนช่วยเหลือของพวกเขา

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague