Bắt đầu

Bug Bounty program

Found a vulnerability on our platform? Let us know.

About the program

Get rewarded for helping us improve our platform. Reports can cover security vulnerabilities in our services, infrastructure, and applications.

Trang web

Sự cố trên TradingView.com và các miền phụ.

Ứng dụng di động

Sự cố trên nền tảng iOS và Android.

Giải pháp vẽ biểu đồ 

Lỗi trong công cụ, tiện ích hoặc API.

Ứng dụng trên desktop

Lỗi hoặc vấn đề về hiệu suất trong ứng dụng máy tính để bàn.

Reward levels

Your reward depends on the type of vulnerability reported and its overall security impact.

  • Remote code execution (RCE) or administrator access
  • High-impact injection vulnerabilities
  • Unrestricted access to local files or databases
  • Authentication bypass allowing modification of user data or access to private data
  • Subdomain takeover
  • Logical flaws causing financial impact e.g., obtaining a subscription for free
  • Cross-site scripting (XSS), excluding self-XSS
  • Cross-site request forgery (CSRF)
  • User reputation manipulation
  • Low-impact injection vulnerabilities
  • Bypassing user restrictions

Reward amounts can vary. The actual reward may change depending on the severity, genuineness, and exploitation possibilities of bugs, as well as the environment and other factors that affect security.

Các lỗ hổng của các dịch vụ khác như Wiki, Blog, v.v. và các lỗ hổng của các môi trường phi sản xuất như 'beta', 'staging', 'demo', v.v. chỉ được thưởng khi chúng ảnh hưởng đến toàn bộ dịch vụ của chúng tôi hoặc có thể gây ra sự rò rỉ dữ liệu người dùng nhạy cảm.

Quy tắc

  1. Báo cáo lỗi nên bao gồm một mô tả chi tiết về lỗ hổng được phát hiện và các bước để có thể gặp lỗi đó. Nếu bạn không mô tả chi tiết về lỗi bạn phát hiện thì có thể chúng tôi sẽ mất nhiều thời gian để xem xét báo cáo và/hoặc có thể dẫn đến việc từ chối báo cáo của bạn.
  2. Vui lòng chỉ gửi một lỗ hổng bảo mật cho mỗi báo cáo, trừ khi bạn cần xâu chuỗi các lỗ hổng để tạo ra tác động.
  3. Chỉ người đầu tiên báo cáo một lỗ hổng không xác định mới được thưởng. Nếu có hiện tượng lặp lại, chúng tôi sẽ chỉ trao thưởng cho báo cáo đầu tiên nếu lỗ hổng bảo mật có thể được tái hiện đầy đủ.
  4. Bạn không nên sử dụng các công cụ và máy quét tự động để tìm lỗ hổng vì các báo cáo như vậy sẽ bị bỏ qua.
  5. You should not perform any attack that could damage our services or data including client data. If it's discovered that DDoS, spam, and brute force attacks have occurred rewards will not be given.
  6. Bạn không nên kéo theo những người dùng khác mà không có sự đồng ý rõ ràng của họ. Hãy tạo ý tưởng, tập lệnh và các nội dung riêng tư khác trong khi bạn thử nghiệm.
  7. Bạn không nên thực hiện hoặc cố gắng thực hiện các cuộc tấn công như tấn công phi kỹ thuật, lừa đảo hoặc tấn công vật lý đối với nhân viên, người dùng hoặc cơ sở hạ tầng nói chung.
  8. Vui lòng cung cấp báo cáo chi tiết kèm theo các bước có thể tái hiện được. Nếu báo cáo không đủ chi tiết để tái hiện vấn đề, thì sẽ không đủ điều kiện để nhận thưởng.
  9. Nhiều lỗ hổng do một vấn đề cơ bản gây ra sẽ được nhận một khoản tiền thưởng.
  10. Vui lòng thực hiện một cách trung thực để tránh vi phạm quyền riêng tư, phá hủy dữ liệu và làm gián đoạn hoặc hạ cấp dịch vụ của chúng tôi.

Các lỗ hổng ngoài phạm vi

The following issues are considered out of scope.

  • Vulnerabilities in users' software or vulnerabilities that require full access to user's software, account/s, email, phone etc
  • Vulnerabilities or leaks in third-party services
  • Vulnerabilities or old versions of third party software/protocols, missed protection as well as a deviation from best practices that don't create a security threat
  • Vulnerabilities with no substantial security impact or exploitation possibility
  • Vulnerabilities that require the user to perform unusual actions
  • Disclosure of public or non-sensitive information
  • Homograph attacks
  • Vulnerabilities that require rooted, jailbroken or modified devices and applications
  • Any activity that could lead to the disruption of our service

There are several examples of such vulnerabilities that are not rewarded.

  • EXIF geolocation data not stripped
  • Clickjacking on pages with no sensitive actions
  • Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions, logout CSRF
  • Weak ciphers or TLS configuration without a working Proof of Concept
  • Content spoofing or injection issues without showing an attack vector
  • Rate limiting or brute force issues on non-authentication endpoints
  • Missing HttpOnly or Secure flags on cookies
  • Software version disclosure. Banner identification issues. Descriptive error messages or headers (e.g. stack traces, application or server errors)
  • Public zero-day vulnerabilities that have had an official patch for less than 1 month will be awarded on a case by case basis
  • Tabnabbing
  • User existence. User, email or phone number enumeration
  • Lack of password complexity restrictions