TradingView Bug赏金计划

如果您发现了安全漏洞并想向我们报告,请发送电子邮件至

计划范围

奖励有关我们服务,基础架构,Web和移动应用程序中的安全漏洞的报告,例如:

TradingView.com以及子域
原生iOS应用
原生Android应用
图表库和交易终端

奖励

您的奖励将取决于发现的漏洞及其安全影响。 请参阅下面的详细信息。
取决于$1500
对于影响我们整个平台的漏洞
  • 远程执行代码(RCE)
  • 获得管理员访问权限
  • 具有重大影响的Injection攻击
  • 不受限制地访问本地文件或数据库
  • 服务器端伪造请求(SSRF攻击)
  • 关键信息披露
取决于$700
对于不需要借助用户交互以及会影响许多用户的漏洞
  • 有重大影响的存储型跨网站指令码攻击(XSS)
  • 身份验证旁路,允许更改用户数据或访问私有数据
  • 不安全的直接对象引用(IDOR)漏洞
取决于$300
对于需要用户交互或影响个别用户的漏洞
  • 有重大影响的存储型跨网站指令码攻击(XSS)
  • 跨站请求伪造(CSRF)
  • URL重定向
  • 用户荣誉值操纵
请注意,奖励金额可能不同。实际的奖励可能会有所不同,具体取决于漏洞的严重性,真实性和开发可能性以及环境和其他影响安全性的因素。

Wiki和博客等补充服务中的漏洞以及生产环境之外的漏洞(例如“ beta”,“ staging”,“ demo”)会影响我们公司的整个服务或高度敏感的用户数据 仅在可能导致泄漏的情况下进行奖励。

您将需要一个PayPal ID,因为我们使用PayPal来发放奖励。

发现以下漏洞不会给您奖励:

  • 您不是第一个报告此漏洞的人。
  • 用户软件中的漏洞或需要全部权限以访问用户软件,帐户,电子邮件,电话等的漏洞。;
  • 第三方服务中的漏洞或泄漏;
  • 较旧版本的第三方软件/协议中的漏洞和缺乏保护,以及与不会造成安全威胁的最佳做法的偏离。
  • 没有实质性安全影响或利用可能性的漏洞;
  • 需要用户执行异常操作的漏洞;
  • 公开或非敏感信息;
  • 同形异义词攻击;
  • 需要植入,越狱或修改过的设备和应用程序的漏洞。

规则

  1. 请耐心等待,因为我们会在两周内审核该报告,有时我们需要更多时间来解决此问题。
  2. 漏洞报告应包括已发现漏洞的详细说明,以及重现漏洞需要执行的步骤或有效的漏洞验证。如果您未描述漏洞详细信息,则可能需要很长时间才能审核报告和/或可能导致拒绝您的报告。
  3. 您不应使用自动化工具和扫描程序来查找漏洞,因为此类报告将被忽略。
  4. 您不应进行任何可能损害我们的服务或客户数据的攻击。 禁止DDoS,垃圾邮件,暴力攻击。
  5. 您不能未经允许而涉及其他用户。
  6. 请勿执行或尝试对我们的员工,用户或基础架构进行非技术攻击,例如社会工程攻击,网络钓鱼,物理攻击。
首页 股票筛选器 外汇筛选器 加密货币筛选器 财经日历 节目 如何运作 图表功能 价格 网站规则 版主 网站 & 经纪商解决方案 插件 图表解决方案 轻量图表库 帮助中心 推荐朋友 功能请求 博客 & 新闻 Twitter
概述 个人资料设置 账号和账单 推荐朋友 我的客服工单 帮助中心 已发表观点 粉丝 正在关注 私人消息 聊天 退出