TradingView

Bug Bounty Program

如果您想让我们知道某个漏洞,请通过HackerOne提交报告。

计划范围

奖励有关我们服务,基础架构,Web和移动应用程序中的安全漏洞的报告,例如:

TradingView.com以及子域

原生iOS应用

原生Android应用

Charting solutions

电脑版

奖励

您的奖励将取决于发现的漏洞及其安全影响。 请参阅下面的详细信息。

最高价

对于影响我们整个平台的漏洞

  • 远程执行代码(RCE)
  • 获得管理员访问权限
  • 具有重大影响的Injection攻击
  • 不受限制地访问本地文件或数据库
  • 服务器端伪造请求(SSRF攻击)
  • 关键信息披露

Medium

对于不需要借助用户交互以及会影响许多用户的漏洞

  • 有重大影响的存储型跨网站指令码攻击(XSS)
  • 身份验证旁路,允许更改用户数据或访问私有数据
  • 不安全的直接对象引用(IDOR)漏洞
  • Subdomain takeover

最低价

对于需要用户交互或影响个别用户的漏洞

  • 跨站点脚本(XSS),自身XSS除外
  • 跨站请求伪造(CSRF)
  • URL重定向
  • 用户荣誉值操纵

请注意,奖励金额可能不同。实际的奖励可能会有所不同,具体取决于漏洞的严重性,真实性和开发可能性以及环境和其他影响安全性的因素。

Wiki和博客等补充服务中的漏洞以及生产环境之外的漏洞(例如“ beta”,“ staging”,“ demo”)会影响我们公司的整个服务或高度敏感的用户数据 仅在可能导致泄漏的情况下进行奖励。

规则

  1. 漏洞报告应包括已发现漏洞的详细说明,以及重现漏洞需要执行的步骤或有效的漏洞验证。如果您未描述漏洞详细信息,则可能需要很长时间才能审核报告和/或可能导致拒绝您的报告。
  2. Please only submit one vulnerability per report, unless you need to chain vulnerabilities to provide impact.
  3. Only the first person to report an unknown vulnerability will be rewarded. When duplicates occur, we will only award the first report if the vulnerability can be fully reproduced.
  4. 您不应使用自动化工具和扫描程序来查找漏洞,因为此类报告将被忽略。
  5. 您不应进行任何可能损害我们的服务或客户数据的攻击。禁止DDoS,垃圾信息,暴力攻击。
  6. 您不能未经允许而涉及其他用户。
  7. 请勿执行或尝试对我们的员工,用户或基础架构进行非技术攻击,例如社会工程攻击,网络钓鱼,物理攻击。
  8. Please provide detailed reports with reproducible steps. If the report is not detailed enough to reproduce the issue, the issue will not be eligible for a reward.
  9. Multiple vulnerabilities caused by one underlying issue will be awarded one bounty.
  10. Please make a good faith effort to avoid privacy violations, destruction of data, and interruption or degradation of our service.

Out of scope vulnerabilities

The following issues are considered out of scope:

  • 用户软件中的漏洞或需要全部权限以访问用户软件,帐户,电子邮件,电话等的漏洞。
  • 第三方服务中的漏洞或泄漏;
  • 较旧版本的第三方软件/协议中的漏洞和缺乏保护,以及与不会造成安全威胁的最佳做法的偏离。
  • 没有实质性安全影响或利用可能性的漏洞;
  • 需要用户执行异常操作的漏洞;
  • 公开或非敏感信息;
  • 同形异义词攻击;
  • 需要植入,越狱或修改过的设备和应用程序的漏洞。
  • Any activity that could lead to the disruption of our service.

There are several examples of such vulnerabilities that are not rewarded:

  • EXIF geolocation data not stripped.
  • Clickjacking on pages with no sensitive actions.
  • Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions, logout CSRF.
  • Weak ciphers or TLS configuration without a working Proof of Concept.
  • Content spoofing or injections issues without showing an attack vector.
  • Rate limiting or brute force issues on non-authentication endpoints.
  • Missing HttpOnly or Secure flags on cookies.
  • Software version disclosure. Banner identification issues. Descriptive error messages or headers (e.g. stack traces, application or server errors).
  • Public zero-day vulnerabilities that have had an official patch for less than 1 month will be awarded on a case by case basis.
  • Tabnabbing.
  • User existence. User, email or phone number enumeration.
  • Lack of password complexity restrictions.

赏金猎人

我们要衷心感谢以下列出的研究人员所做的贡献。

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague