Bắt đầu

Chương trình săn lỗi bảo mật

Bạn phát hiện lỗ hổng trên nền tảng của chúng tôi? Hãy cho chúng tôi biết.

Giới thiệu chương trình

Nhận phần thưởng khi giúp chúng tôi cải thiện nền tảng. Báo cáo có thể bao gồm các lỗ hổng bảo mật trong dịch vụ, hạ tầng và ứng dụng của chúng tôi.

Trang web

Sự cố trên TradingView.com và các miền phụ.

Ứng dụng di động

Sự cố trên nền tảng iOS và Android.

Giải pháp vẽ biểu đồ 

Lỗi trong công cụ, tiện ích hoặc API.

Ứng dụng trên desktop

Lỗi hoặc vấn đề về hiệu suất trong ứng dụng máy tính để bàn.

Các mức thưởng

Phần thưởng của bạn phụ thuộc vào loại lỗ hổng được báo cáo và mức độ ảnh hưởng tổng thể của nó đến bảo mật.

  • Thực thi mã từ xa (RCE) hoặc quyền truy cập quản trị viên
  • Các lỗ hổng chèn mã có mức độ ảnh hưởng cao
  • Truy cập không hạn chế vào các tệp hoặc cơ sở dữ liệu cục bộ
  • Vượt qua cơ chế xác thực cho phép chỉnh sửa dữ liệu người dùng hoặc truy cập dữ liệu riêng tư
  • Tiếp quản trên miền phụ
  • Các lỗi logic gây ảnh hưởng tài chính, ví dụ: nhận được gói đăng ký miễn phí
  • Tấn công chèn mã độc xuyên trang (XSS), không bao gồm self-XSS
  • Tấn công Giả mạo chính chủ thể (CSRF)
  • Tác động đến danh tiếng người dùng
  • Các lỗ hổng chèn mã có mức độ ảnh hưởng thấp
  • Vượt qua các hạn chế về người dùng

Mức thưởng có thể khác nhau. Phần thưởng thực tế có thể thay đổi tùy thuộc vào mức độ nghiêm trọng, tính xác thực và khả năng khai thác của lỗi, cũng như môi trường và các yếu tố khác ảnh hưởng đến bảo mật.

Vulnerabilities of auxiliary services such as Blog and vulnerabilities of non-production environments such as "beta", "staging", "demo" etc. are rewarded only when they affect our service as a whole or may cause sensitive user data leakage.

Quy tắc

  1. Báo cáo lỗi nên bao gồm một mô tả chi tiết về lỗ hổng được phát hiện và các bước để có thể gặp lỗi đó. Nếu bạn không mô tả chi tiết về lỗi bạn phát hiện thì có thể chúng tôi sẽ mất nhiều thời gian để xem xét báo cáo và/hoặc có thể dẫn đến việc từ chối báo cáo của bạn.
  2. Vui lòng chỉ gửi một lỗ hổng bảo mật cho mỗi báo cáo, trừ khi bạn cần xâu chuỗi các lỗ hổng để tạo ra tác động.
  3. Chỉ người đầu tiên báo cáo một lỗ hổng không xác định mới được thưởng. Nếu có hiện tượng lặp lại, chúng tôi sẽ chỉ trao thưởng cho báo cáo đầu tiên nếu lỗ hổng bảo mật có thể được tái hiện đầy đủ.
  4. Bạn không nên sử dụng các công cụ và máy quét tự động để tìm lỗ hổng vì các báo cáo như vậy sẽ bị bỏ qua.
  5. Bạn không được thực hiện bất kỳ hành vi tấn công nào có thể gây tổn hại đến dịch vụ hoặc dữ liệu của chúng tôi, bao gồm cả dữ liệu của khách hàng. Nếu phát hiện có các cuộc tấn công DDoS, spam hoặc brute force, phần thưởng sẽ không được trao.
  6. Bạn không nên kéo theo những người dùng khác mà không có sự đồng ý rõ ràng của họ. Hãy tạo ý tưởng, tập lệnh và các nội dung riêng tư khác trong khi bạn thử nghiệm.
  7. Bạn không nên thực hiện hoặc cố gắng thực hiện các cuộc tấn công như tấn công phi kỹ thuật, lừa đảo hoặc tấn công vật lý đối với nhân viên, người dùng hoặc cơ sở hạ tầng nói chung.
  8. Vui lòng cung cấp báo cáo chi tiết kèm theo các bước có thể tái hiện được. Nếu báo cáo không đủ chi tiết để tái hiện vấn đề, thì sẽ không đủ điều kiện để nhận thưởng.
  9. Nhiều lỗ hổng do một vấn đề cơ bản gây ra sẽ được nhận một khoản tiền thưởng.
  10. Vui lòng thực hiện một cách trung thực để tránh vi phạm quyền riêng tư, phá hủy dữ liệu và làm gián đoạn hoặc hạ cấp dịch vụ của chúng tôi.

Các lỗ hổng ngoài phạm vi

Các vấn đề sau được coi là nằm ngoài phạm vi.

  • Các lỗ hổng trong phần mềm hoặc lỗ hổng của người dùng yêu cầu quyền truy cập đầy đủ vào phần mềm, tài khoản, email, điện thoại của người dùng, v.v.
  • Lỗ hổng hoặc rò rỉ trong các dịch vụ của bên thứ ba
  • Các lỗ hổng hoặc các phiên bản cũ của phần mềm/giao thức của bên thứ ba, bị mất bảo vệ cũng như sai lệch so với các hoạt động không tạo ra mối đe dọa bảo mật
  • Các lỗ hổng không có tác động bảo mật hoặc khả năng khai thác đáng kể
  • Các lỗ hổng yêu cầu người dùng thực hiện các hành động bất thường
  • Tiết lộ thông tin công khai hoặc không nhạy cảm
  • Tấn công đồng hình ký tự
  • Các lỗ hổng yêu cầu các thiết bị và ứng dụng đã bị mở khóa, bẻ khóa hoặc sửa đổi
  • Bất kỳ hoạt động nào có thể dẫn đến sự gián đoạn dịch vụ của chúng tôi

Có một số ví dụ về các lỗ hổng bảo mật như vậy không được nhận thưởng.

  • Dữ liệu định vị EXIF không được loại bỏ
  • Tấn công clickjacking trên các trang không có thao tác nhạy cảm
  • Tấn công giả mạo yêu cầu liên trang (CSRF) trên các biểu mẫu không yêu cầu xác thực hoặc không có thao tác nhạy cảm, bao gồm CSRF đăng xuất
  • Mật mã hoặc cấu hình TLS yếu mà không có Bằng chứng khái niệm hoạt động
  • Các vấn đề giả mạo hoặc chèn nội dung mà không chứng minh được phương thức tấn công
  • Các vấn đề về giới hạn tỷ lệ hoặc bạo lực trên các điểm cuối không xác thực
  • Thiếu cờ HttpOnly hoặc Secure trên cookie
  • Công bố phiên bản phần mềm. Các vấn đề về nhận dạng biểu ngữ. Tiêu đề hoặc thông báo lỗi mô tả (ví dụ: dấu vết ngăn xếp, lỗi ứng dụng hoặc máy chủ)
  • Các lỗ hổng zero-day công khai đã có bản vá chính thức dưới 1 tháng sẽ được trao thưởng tùy từng trường hợp
  • Tấn công tabnabbing
  • Người dùng hiện hữu. Liệt kê người dùng, email hoặc số điện thoại
  • Thiếu các hạn chế về độ phức tạp của mật khẩu.