TradingView

Bug赏金计划

如果您想让我们知道某个漏洞,请通过HackerOne提交报告。

计划范围

我们为涵盖我们服务、基础架构和应用程序中的安全漏洞的报告提供奖励,例如:

TradingView.com以及子域

原生iOS app

原生Android app

图表解决方案

电脑版

奖励

您的奖励将取决于所发现的漏洞以及对安全的影响。请参阅下面的详细信息。

对于影响我们整个平台的安全漏洞

  • 远程执行代码(RCE)
  • 获得管理员访问权限
  • 具有重大影响的Injection攻击
  • 不受限制地访问本地文件或数据库
  • 服务器端伪造请求(SSRF攻击)
  • 关键信息披露

对于不需要借助用户交互以及会影响许多用户的漏洞

  • 有重大影响的存储型跨网站指令码攻击(XSS)
  • 身份验证旁路,允许更改用户数据或访问私有数据
  • 不安全的直接对象引用(IDOR)漏洞
  • 子域名劫持

对于需要用户交互或影响个别用户的漏洞

  • 跨站脚本攻击(XSS),self-XSS除外
  • 跨站请求伪造(CSRF)
  • URL重新定向
  • 用户荣誉值操纵

请注意,奖励金额可能不同。实际的奖励可能会有所不同,具体取决于漏洞的严重性、真实性和开发可能性,以及环境和其他影响安全性的因素。

博客等辅助服务的漏洞和“beta”、“staging”、“demo”等非生产环境的漏洞,只有在影响我们整体服务,或可能导致敏感用户数据泄露时才会奖励。

规则

  1. 漏洞报告应包括已发现漏洞的详细说明,以及重现漏洞需要执行的步骤或有效的漏洞验证。如果您未描述漏洞详细信息,则可能需要很长时间才能审核报告和/或可能导致拒绝您的报告。
  2. 每份报告请仅提交一个漏洞,除非您需要漏洞链来提供影响。
  3. 只有第一个报告未知漏洞的人将获得奖励。当出现重复时,我们只会奖赏可以完全重现漏洞的第一份报告。
  4. 您不应使用自动化工具和扫描程序来查找漏洞,因为此类报告将被忽略。
  5. 您不应进行任何可能损害我们的服务或客户数据的攻击。禁止DDoS,垃圾信息,暴力攻击。
  6. 未经他们的明确同意,您不应让其他用户参与其中。在测试期间创建私密观点、脚本和其它内容。
  7. 您不应执行或尝试执行非技术攻击,例如社交工程(例如phishing, vishing, smishing),或对我们的员工、用户或一般基础架构的物理攻击。
  8. 请提供具有可重复步骤的详细报告。如果报告不够详细,无法重现问题,则该问题将没有资格获得奖励。
  9. 由一个潜在问题引起的多个漏洞将获得一份赏金。
  10. 请真诚地努力避免侵犯隐私、破坏数据以及中断或降低我们的服务。

超出范围漏洞

以下问题被视为超出范围:

  • 用户软件中的漏洞或需要全部权限以访问用户软件,帐户,电子邮件,电话等的漏洞。
  • 第三方服务中的漏洞或泄漏;
  • 第三方软件/协议的漏洞或旧版本、缺少保护以及与不会造成安全威胁的最佳做法偏离。
  • 没有重大安全影响或利用可能性的漏洞。
  • 需要用户执行异常操作的漏洞。
  • 公开披露或非敏感信息。
  • 同形异义词攻击。
  • 需要植入,越狱或修改过的设备和应用程序的漏洞。
  • 任何可能导致我们服务中断的活动。

以下是没有得到奖励的漏洞的几个例子:

  • EXIF地理位置数据未剥离。
  • 在没有敏感操作的页面上点击劫持。
  • 未经身份验证的表单或没有敏感操作的表单上的跨站点请求伪造 (CSRF),注销CSRF。
  • 弱密码或没有有效的概念证明的TLS配置。
  • 不显示攻击向量的内容欺骗或映射问题。
  • 速率限制或非身份验证端点上的暴力破解问题。
  • Cookie上缺少HttpOnly或Secure标志。
  • 软件版本披露。横幅识别问题。描述性错误消息或标头(例如堆栈跟踪、应用程序或服务器错误)。
  • 发布官方补丁不到1个月的公开零日漏洞将根据具体情况给予奖励。
  • 反向标签劫持攻击(Tabnabbing)。
  • 用户存在。用户、电子邮件或电话号码列举。
  • 缺乏密码复杂性限制。

赏金猎人

我们要衷心感谢以下列出的研究人员所做的贡献。

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague