TradingView
Bug赏金计划
如果您想让我们知道某个漏洞,请通过HackerOne提交报告。
奖励
您的奖励将取决于所发现的漏洞以及对安全的影响。请参阅下面的详细信息。
高
对于影响我们整个平台的安全漏洞
- 远程执行代码(RCE)
- 获得管理员访问权限
- 具有重大影响的Injection攻击
- 不受限制地访问本地文件或数据库
- 服务器端伪造请求(SSRF攻击)
- 关键信息披露
中
对于不需要借助用户交互以及会影响许多用户的漏洞
- 有重大影响的存储型跨网站指令码攻击(XSS)
- 身份验证旁路,允许更改用户数据或访问私有数据
- 不安全的直接对象引用(IDOR)漏洞
- 子域名劫持
低
对于需要用户交互或影响个别用户的漏洞
- 跨站脚本攻击(XSS),self-XSS除外
- 跨站请求伪造(CSRF)
- URL重新定向
- 用户荣誉值操纵
请注意,奖励金额可能不同。实际的奖励可能会有所不同,具体取决于漏洞的严重性、真实性和开发可能性,以及环境和其他影响安全性的因素。
博客等辅助服务的漏洞和“beta”、“staging”、“demo”等非生产环境的漏洞,只有在影响我们整体服务,或可能导致敏感用户数据泄露时才会奖励。
规则
- 漏洞报告应包括已发现漏洞的详细说明,以及重现漏洞需要执行的步骤或有效的漏洞验证。如果您未描述漏洞详细信息,则可能需要很长时间才能审核报告和/或可能导致拒绝您的报告。
- 每份报告请仅提交一个漏洞,除非您需要漏洞链来提供影响。
- 只有第一个报告未知漏洞的人将获得奖励。当出现重复时,我们只会奖赏可以完全重现漏洞的第一份报告。
- 您不应使用自动化工具和扫描程序来查找漏洞,因为此类报告将被忽略。
- 您不应进行任何可能损害我们的服务或客户数据的攻击。禁止DDoS,垃圾信息,暴力攻击。
- 未经他们的明确同意,您不应让其他用户参与其中。在测试期间创建私密观点、脚本和其它内容。
- 您不应执行或尝试执行非技术攻击,例如社交工程(例如phishing, vishing, smishing),或对我们的员工、用户或一般基础架构的物理攻击。
- 请提供具有可重复步骤的详细报告。如果报告不够详细,无法重现问题,则该问题将没有资格获得奖励。
- 由一个潜在问题引起的多个漏洞将获得一份赏金。
- 请真诚地努力避免侵犯隐私、破坏数据以及中断或降低我们的服务。
超出范围漏洞
以下问题被视为超出范围:
- 用户软件中的漏洞或需要全部权限以访问用户软件,帐户,电子邮件,电话等的漏洞。
- 第三方服务中的漏洞或泄漏;
- 第三方软件/协议的漏洞或旧版本、缺少保护以及与不会造成安全威胁的最佳做法偏离。
- 没有重大安全影响或利用可能性的漏洞。
- 需要用户执行异常操作的漏洞。
- 公开披露或非敏感信息。
- 同形异义词攻击。
- 需要植入,越狱或修改过的设备和应用程序的漏洞。
- 任何可能导致我们服务中断的活动。
以下是没有得到奖励的漏洞的几个例子:
- EXIF地理位置数据未剥离。
- 在没有敏感操作的页面上点击劫持。
- 未经身份验证的表单或没有敏感操作的表单上的跨站点请求伪造 (CSRF),注销CSRF。
- 弱密码或没有有效的概念证明的TLS配置。
- 不显示攻击向量的内容欺骗或映射问题。
- 速率限制或非身份验证端点上的暴力破解问题。
- Cookie上缺少HttpOnly或Secure标志。
- 软件版本披露。横幅识别问题。描述性错误消息或标头(例如堆栈跟踪、应用程序或服务器错误)。
- 发布官方补丁不到1个月的公开零日漏洞将根据具体情况给予奖励。
- 反向标签劫持攻击(Tabnabbing)。
- 用户存在。用户、电子邮件或电话号码列举。
- 缺乏密码复杂性限制。
赏金猎人
我们要衷心感谢以下列出的研究人员所做的贡献。
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh