TradingView Bug赏金计划

如果您发现了安全漏洞并想向我们报告,请发送电子邮件至

计划范围

对于服务,基础架构,Web和移动应用程序中的安全漏洞的报告,我们提供奖励

您的研究可以涵盖:

Tradingview.com以及子域
原生iOS应用
原生Android应用
图表库和交易终端

奖励

您的奖励将取决于发现的漏洞及其安全影响。 请参阅下面的详细信息。
高达$1500
漏洞影响我们的整个服务
  • 远程执行代码(RCE)
  • 获得管理员访问权限
  • 具有重大影响的漏洞
  • 不受限制地访问本地文件或数据库
  • 服务器端伪造请求(SSRF)
  • 关键信息披露
高达$700
漏洞不需要用户交互,并且会影响许多用户
  • 具有重大影响的存储跨站点脚本(XSS)
  • 身份验证旁路,允许更改用户数据或访问私有数据
  • 不安全的直接对象引用(IDOR)
高达$300
漏洞需要用户交互或影响单个用户
  • 跨站点脚本(XSS),自身XSS除外
  • 跨站请求伪造(CSRF)
  • URL重定向
  • 用户荣誉值操纵
请注意,奖励金额可以不同。 实际的奖励可能会有所不同,具体取决于漏洞的严重性,真实性和开发可能性以及环境和影响安全性的其他因素。

Wiki和博客等补充服务中的漏洞以及生产环境之外的漏洞(例如“ beta”,“ staging”,“ demo”)会影响我们公司的整个服务或高度敏感的用户数据 仅在可能导致泄漏的情况下进行奖励。

您将需要一个PayPal ID,因为我们使用PayPal来发放奖励。

发现以下漏洞不会给您奖励:

  • 您不是第一个报告此漏洞的人。
  • 用户软件中的漏洞或需要全部权限以访问用户软件,帐户,电子邮件,电话等的漏洞。;
  • 第三方服务中的漏洞或泄漏;
  • 较旧版本的第三方软件/协议中的漏洞和缺乏保护,以及与不会造成安全威胁的最佳做法的偏离。
  • 没有实质性安全影响或利用可能性的漏洞;
  • 需要用户执行异常操作的漏洞;
  • 公开或非敏感信息;
  • 同形异义词攻击;
  • 需要植入,越狱或修改过的设备和应用程序的漏洞。

规则

  1. 在您收到我们的许可之前,您不应该揭露此错误。报告会在两周内审核,请耐心等待,我们需要时间来修复漏洞。
  2. 漏洞报告应包括已发现漏洞的详细说明,以及重现漏洞需要执行的步骤或有效的漏洞验证。如果您未描述漏洞详细信息,则可能需要很长时间才能审核报告和/或可能导致拒绝您的报告。
  3. 您不应使用自动化工具和扫描程序来查找漏洞,因为此类报告将不会进行审核。
  4. 您不应进行任何可能损害我们的服务或客户数据的攻击。 禁止DDoS,垃圾邮件,暴力攻击。
  5. 您不能未经允许而涉及其他用户。
  6. 您不应执行或试图用非技术供给例如社会工程、钓鱼或物理攻击以袭击我们的员工、用户或基础设施。
首页 股票筛选器 外汇筛选器 加密货币筛选器 财经日历 如何运作 图表功能 价格 网站规则 版主 网站 & 经纪商解决方案 插件 图表解决方案 帮助中心 功能请求 博客 & 新闻 常见问题 维基百科 Twitter
概述 个人资料设置 账号和账单 TradingView代币 我的客服工单 帮助中心 已发表观点 粉丝 正在关注 私人消息 聊天 退出