Chương trình Săn lỗi nhận tiền thưởng
của TradingView
Nếu bạn muốn cho chúng tôi biết về lỗ hổng bảo mật, vui lòng gửi báo cáo qua HackerOne.
Phạm vi của chương trình
Chúng tôi trao phần thưởng cho các báo cáo bao gồm các lỗ hổng bảo mật trong các dịch vụ, cơ sở hạ tầng, web và ứng dụng di động của chúng tôi, chẳng hạn như:
TradingView.com cũng như các tên miền phụ
Ứng dụng iOS gốc
Ứng dụng Android gốc
Giải pháp Biểu đồ
Desktop App
Phần thưởng
Phần thưởng của bạn sẽ phụ thuộc vào lỗ hổng được phát hiện cũng như tác động bảo mật của lỗ hổng đó. Xem chi tiết bên dưới.
Cao
Đối với một lỗ hổng ảnh hưởng đến toàn bộ nền tảng của chúng tôi
- Thực thi mã từ xa (RCE)
- Đạt quyền truy cập quản trị viên
- Lỗi Injection với tác động đáng kể
- Truy cập không hạn chế vào các tệp hoặc cơ sở dữ liệu cục bộ
- Giả mạo phía Máy chủ (SSRF)
- Rò rỉ thông tin quan trọng
Trung bình
Đối với một lỗ hổng bảo mật mà không có sự tương tác của người dùng và ảnh hưởng đến số đông
- Lỗ hổng Kịch bản chéo trang web (XSS) với tác động đáng kể
- Bỏ qua xác thực cho phép thay đổi dữ liệu người dùng hoặc truy cập vào dữ liệu riêng tư
- Lỗ hổng bảo mật IDOR (Đối tượng Tham chiếu Thiếu an toàn)
- Tiếp quản trên miền phụ
Thấp
Đối với một lỗ hổng yêu cầu tương tác của người dùng hoặc ảnh hưởng đến người dùng cá nhân
- Kịch bản Chéo trang (XSS), ngoại trừ self - XSS
- Tấn công Giả mạo chính chủ thể (CSRF)
- Chuyển hướng URL
- Tác động đến danh tiếng người dùng
Lưu ý rằng số tiền thưởng có thể khác nhau. Phần thưởng thực tế có thể khác nhau tùy thuộc vào mức độ nghiêm trọng, tính xác thực và khả năng khai thác của lỗi cũng như môi trường và các yếu tố khác ảnh hưởng đến bảo mật.
Các lỗ hổng của các dịch vụ khác như Wiki, Blog, v.v. và các lỗ hổng của các môi trường phi sản xuất như 'beta', 'staging', 'demo', v.v. chỉ được thưởng khi chúng ảnh hưởng đến toàn bộ dịch vụ của chúng tôi hoặc có thể gây ra sự rò rỉ dữ liệu người dùng nhạy cảm.
Quy tắc
- Báo cáo lỗi nên bao gồm một mô tả chi tiết về lỗ hổng được phát hiện và các bước để có thể gặp lỗi đó. Nếu bạn không mô tả chi tiết về lỗi bạn phát hiện thì có thể chúng tôi sẽ mất nhiều thời gian để xem xét báo cáo và/hoặc có thể dẫn đến việc từ chối báo cáo của bạn.
- Vui lòng chỉ gửi một lỗ hổng bảo mật cho mỗi báo cáo, trừ khi bạn cần xâu chuỗi các lỗ hổng để tạo ra tác động.
- Chỉ người đầu tiên báo cáo một lỗ hổng không xác định mới được thưởng. Nếu có hiện tượng lặp lại, chúng tôi sẽ chỉ trao thưởng cho báo cáo đầu tiên nếu lỗ hổng bảo mật có thể được tái hiện đầy đủ.
- Bạn không nên sử dụng các công cụ và máy quét tự động để tìm lỗ hổng vì các báo cáo như vậy sẽ bị bỏ qua.
- Bạn không nên thực hiện bất kỳ cuộc tấn công nào có thể làm hỏng dịch vụ hoặc dữ liệu của chúng tôi bao gồm dữ liệu khách hàng, DDoS, thư rác, tấn công không được phép.
- Bạn không nên kéo theo những người dùng khác mà không có sự đồng ý rõ ràng của họ.
- Bạn không nên thực hiện hoặc cố gắng thực hiện các cuộc tấn công như tấn công phi kỹ thuật, lừa đảo hoặc tấn công vật lý đối với nhân viên, người dùng hoặc cơ sở hạ tầng nói chung.
- Vui lòng cung cấp báo cáo chi tiết kèm theo các bước có thể tái hiện được. Nếu báo cáo không đủ chi tiết để tái hiện vấn đề, thì sẽ không đủ điều kiện để nhận thưởng.
- Nhiều lỗ hổng do một vấn đề cơ bản gây ra sẽ được nhận một khoản tiền thưởng.
- Vui lòng thực hiện một cách trung thực để tránh vi phạm quyền riêng tư, phá hủy dữ liệu và làm gián đoạn hoặc hạ cấp dịch vụ của chúng tôi.
Các lỗ hổng ngoài phạm vi
Các vấn đề sau được coi là nằm ngoài phạm vi:
- Các lỗ hổng trong phần mềm hoặc lỗ hổng của người dùng yêu cầu quyền truy cập đầy đủ vào phần mềm, tài khoản, email, điện thoại của người dùng, v.v.
- Lỗ hổng hoặc rò rỉ trong các dịch vụ của bên thứ ba;
- Các lỗ hổng hoặc các phiên bản cũ của phần mềm/giao thức của bên thứ ba, bị mất bảo vệ cũng như sai lệch so với các hoạt động không tạo ra mối đe dọa bảo mật;
- Các lỗ hổng không có tác động bảo mật hoặc khả năng khai thác đáng kể;
- Các lỗ hổng yêu cầu người dùng thực hiện các hành động bất thường;
- Tiết lộ thông tin công khai hoặc không nhạy cảm;
- Tấn công đồng bộ hóa (Homograph);
- Các lỗ hổng yêu cầu các thiết bị và ứng dụng đã bị mở khóa, bẻ khóa hoặc sửa đổi.
- Bất kỳ hoạt động nào có thể dẫn đến sự gián đoạn dịch vụ của chúng tôi.
Có một số ví dụ về các lỗ hổng bảo mật như vậy không được nhận thưởng:
- Dữ liệu vị trí địa lý EXIF không bị tước bỏ.
- Tấn công trên các trang không có hành động nhạy cảm.
- Kỹ thuật tấn công giả mạo chính chủ thể (CSRF) trên các biểu mẫu chưa được xác thực hoặc biểu mẫu không có hành động nhạy cảm, đăng xuất CSRF.
- Mật mã hoặc cấu hình TLS yếu mà không có Bằng chứng khái niệm hoạt động.
- Các vấn đề về giả mạo hoặc đưa vào nội dung mà không hiển thị vectơ tấn công.
- Các vấn đề về giới hạn tỷ lệ hoặc bạo lực trên các điểm cuối không xác thực.
- Thiếu cờ HttpOnly hoặc Secure trên cookie.
- Công bố phiên bản phần mềm. Các vấn đề về nhận dạng biểu ngữ. Tiêu đề hoặc thông báo lỗi mô tả (ví dụ: dấu vết ngăn xếp, lỗi ứng dụng hoặc máy chủ).
- Các lỗ hổng zero-day công khai đã có bản vá chính thức dưới 1 tháng sẽ được trao thưởng tùy từng trường hợp.
- Tấn công lừa đảo thông qua các tab trình duyệt.
- Người dùng hiện hữu. Liệt kê người dùng, email hoặc số điện thoại.
- Thiếu các hạn chế về độ phức tạp của mật khẩu.
Thợ săn tiền thưởng
Chúng tôi xin chân thành cảm ơn các nhà nghiên cứu được liệt kê dưới đây vì những đóng góp của họ.
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh