TradingView

Chương trình Tìm lỗ hổng Trúng thưởng của TradingView

Nếu bạn tìm được bug về lỗi bảo mật và muốn báo cáo lại cho chúng tôi, vui lòng gửi email cho chúng tôi tại

Phạm vi của chương trình

Chúng tôi có phần thưởng cho các báo cáo về các lỗ hổng bảo mật trong dịch vụ, cơ sở hạ tầng, web và ứng dụng di động của chúng tôi

Nghiên cứu của bạn có thể bao gồm:

Tradingview.com và các tên miền phụ

Ứng dụng iOS bản địa

Ứng dụng Android bản địa

Thư viện biểu đồ và trạm giao dịch

Trao thưởng

Phần thưởng của bạn sẽ phụ thuộc vào lỗ hổng được phát hiện cũng như tác động bảo mật của nó. Xem chi tiết bên dưới.

lên tới^$1500

Lỗ hổng ảnh hưởng đến toàn bộ dịch vụ của chúng tôi

Thực thi mã từ xa (RCE)
Đạt quyền truy cập quản trị viên
Ảnh hưởng với tác động đáng kể
Truy cập không hạn chế vào các tệp hoặc cơ sở dữ liệu cục bộ
Giả mạo yêu cầu phía máy chủ (SSRF)
Rò rỉ thông tin quan trọng

lên tới^$700

Lỗ hổng không để ý đến tương tác người dùng và ảnh hưởng đến nhiều người dùng

Lưu trữ Scripting chéo trang web (XSS) với tác động đáng kể
Bỏ qua xác thực cho phép thay đổi dữ liệu người dùng hoặc truy cập vào dữ liệu riêng tư
Đối chiếu Đối tượng Trực tiếp Không bảo mật (IDOR)

lên tới^$300

Lỗ hổng yêu cầu tương tác người dùng hoặc ảnh hưởng đến người dùng cá nhân

Cross-Site Scripting (XSS), ngoại trừ self - XSS
Cross-Site Request Forgery (CSRF)
Chuyển hướng URL
Tác động đến danh tiếng người dùng

Lưu ý rằng số tiền thưởng có thể khác nhau. Một phần thưởng thực tế có thể khác nhau tùy thuộc vào mức độ nghiêm trọng, tính xác thực và khả năng khai thác của lỗ hổng cũng như môi trường và các yếu tố khác ảnh hưởng đến an ninh.

Các lỗ hổng của các dịch vụ khác như Wiki, Blog, v.v. và các lỗ hổng của các môi trường phi sản xuất như 'beta', 'staging', 'demo', v.v. chỉ được thưởng khi chúng ảnh hưởng đến toàn bộ dịch vụ của chúng tôi hoặc có thể gây ra sự rò rỉ dữ liệu người dùng nhạy cảm.

Bạn sẽ cần ID PayPal khi chúng tôi sử dụng PayPal để trao phần thưởng.

Bạn sẽ KHÔNG nhận được phần thưởng cho việc phát hiện ra các lỗ hổng sau:

Bạn không phải là người đầu tiên báo cáo lỗ hổng này;
Các lỗ hổng trong phần mềm hoặc lỗ hổng của người dùng yêu cầu quyền truy cập đầy đủ vào phần mềm, tài khoản, email, điện thoại của người dùng, v.v.;
Lỗ hổng hoặc rò rỉ trong các dịch vụ của bên thứ ba;
Các lỗ hổng hoặc các phiên bản cũ của phần mềm / giao thức của bên thứ ba, bị mất bảo vệ cũng như sai lệch so với các hoạt động không tạo ra mối đe dọa bảo mật;
Các lỗ hổng không có tác động bảo mật hoặc khả năng khai thác đáng kể;
Các lỗ hổng yêu cầu người dùng thực hiện các hành động bất thường;
Tiết lộ thông tin công khai hoặc không nhạy cảm;
Tấn công Homograph;
Các lỗ hổng yêu cầu các thiết bị và ứng dụng đã root, bẻ khóa hoặc sửa đổi.

Quy tắc

Bạn không nên tiết lộ lỗi bạn phát hiện trước khi bạn nhận được sự chấp thuận từ chúng tôi. Hãy kiên nhẫn vì các báo cáo được xem xét trong vòng hai tuần và chúng tôi cần thời gian để sửa những lỗi đó.
Một báo cáo lỗi nên bao gồm một mô tả chi tiết về lỗ hổng được phát hiện và các bước để có thể gặp lỗi đó. Nếu bạn không mô tả chi tiết về lỗi bạn phát hiện thì có thể chúng tôi sẽ mất nhiều thời gian để xem xét báo cáo và / hoặc có thể dẫn đến việc từ chối báo cáo của bạn.
Bạn không nên sử dụng các công cụ và máy quét tự động để tìm lỗ hổng vì các báo cáo đó sẽ không được tính.
Bạn không nên thực hiện bất kỳ cuộc tấn công nào có thể làm hỏng dịch vụ hoặc dữ liệu của chúng tôi bao gồm dữ liệu khách hàng, DDoS, thư rác, tấn công không được phép.
Bạn không nên kéo theo những người dùng khác mà không có sự đồng ý rõ ràng của họ.
Bạn không nên thực hiện hoặc cố gắng thực hiện các tấn công phi kỹ thuật tới nhân viên, người dùng hoặc cơ sở hạ tầng của chúng tôi thông qua tấn công dựa vào tương tác của con người, lừa đảo, tấn công vật lý.