Chương trình Tìm lỗ hổng Trúng thưởng của TradingView

Nếu bạn muốn cho chúng tôi biết về lỗ hổng bảo mật, vui lòng gửi báo cáo qua HackerOne.

Phạm vi của chương trình

Chúng tôi trao phần thưởng cho các báo cáo bao gồm các lỗ hổng bảo mật trong các dịch vụ, cơ sở hạ tầng, web và ứng dụng di động của chúng tôi, chẳng hạn như:

TradingView.com cũng như các tên miền phụ

Ứng dụng iOS gốc

Ứng dụng Android gốc

Thư viện biểu đồ và Trạm giao dịch

Phần thưởng

Phần thưởng của bạn sẽ phụ thuộc vào lỗ hổng được phát hiện cũng như tác động bảo mật của nó. Xem chi tiết bên dưới.

lên tới^$1500

Đối với một lỗ hổng ảnh hưởng đến toàn bộ nền tảng của chúng tôi

Thực thi mã từ xa (RCE)
Đạt quyền truy cập quản trị viên
Lỗi Injection với tác động đáng kể
Truy cập không hạn chế vào các tệp hoặc cơ sở dữ liệu cục bộ
Giả mạo phía Máy chủ (SSRF)
Rò rỉ thông tin quan trọng

lên tới^$700

Đối với một lỗ hổng bảo mật mà không có sự tương tác của người dùng và ảnh hưởng đến số đông

Lỗ hổng Kịch bản chéo trang web (XSS) với tác động đáng kể
Bỏ qua xác thực cho phép thay đổi dữ liệu người dùng hoặc truy cập vào dữ liệu riêng tư
Lỗ hổng bảo mật IDOR (Đối tượng Tham chiếu Thiếu an toàn)

lên tới^$300

Đối với một lỗ hổng yêu cầu tương tác của người dùng hoặc ảnh hưởng đến người dùng cá nhân

Kịch bản Chéo trang (XSS), ngoại trừ self - XSS
Tấn công Giả mạo chính chủ thể (CSRF)
Chuyển hướng URL
Tác động đến danh tiếng người dùng

Lưu ý rằng số tiền thưởng có thể khác nhau. Phần thưởng thực tế có thể khác nhau tùy thuộc vào mức độ nghiêm trọng, tính xác thực và khả năng khai thác của lỗi cũng như môi trường và các yếu tố khác ảnh hưởng đến an ninh.

Các lỗ hổng của các dịch vụ khác như Wiki, Blog, v.v. và các lỗ hổng của các môi trường phi sản xuất như 'beta', 'staging', 'demo', v.v. chỉ được thưởng khi chúng ảnh hưởng đến toàn bộ dịch vụ của chúng tôi hoặc có thể gây ra sự rò rỉ dữ liệu người dùng nhạy cảm.

Bạn sẽ cần ID PayPal khi chúng tôi sử dụng PayPal để trao phần thưởng.

Bạn sẽ KHÔNG nhận được phần thưởng cho việc phát hiện ra các lỗ hổng sau:

Bạn không phải là người đầu tiên báo cáo lỗ hổng này;
Các lỗ hổng trong phần mềm hoặc lỗ hổng của người dùng yêu cầu quyền truy cập đầy đủ vào phần mềm, tài khoản, email, điện thoại của người dùng, v.v.;
Lỗ hổng hoặc rò rỉ trong các dịch vụ của bên thứ ba;
Các lỗ hổng hoặc các phiên bản cũ của phần mềm/giao thức của bên thứ ba, bị mất bảo vệ cũng như sai lệch so với các hoạt động không tạo ra mối đe dọa bảo mật;
Các lỗ hổng không có tác động bảo mật hoặc khả năng khai thác đáng kể;
Các lỗ hổng yêu cầu người dùng thực hiện các hành động bất thường;
Tiết lộ thông tin công khai hoặc không nhạy cảm;
Tấn công đồng bộ hóa (Homograph);
Các lỗ hổng yêu cầu các thiết bị và ứng dụng đã bị mở khóa, bẻ khóa hoặc sửa đổi.

Quy tắc

Hãy kiên nhẫn vì các báo cáo được xem xét trong vòng hai tuần và đôi khi chúng tôi cần thêm thời gian để khắc phục sự cố.
Một báo cáo lỗi nên bao gồm một mô tả chi tiết về lỗ hổng được phát hiện và các bước để có thể gặp lỗi đó. Nếu bạn không mô tả chi tiết về lỗi bạn phát hiện thì có thể chúng tôi sẽ mất nhiều thời gian để xem xét báo cáo và / hoặc có thể dẫn đến việc từ chối báo cáo của bạn.
Bạn không nên sử dụng các công cụ và máy quét tự động để tìm lỗ hổng vì các báo cáo như vậy sẽ bị bỏ qua.
Bạn không nên thực hiện bất kỳ cuộc tấn công nào có thể làm hỏng dịch vụ hoặc dữ liệu của chúng tôi bao gồm dữ liệu khách hàng, DDoS, thư rác, tấn công không được phép.
Bạn không nên kéo theo những người dùng khác mà không có sự đồng ý rõ ràng của họ.
Bạn không nên thực hiện hoặc cố gắng thực hiện các cuộc tấn công như tấn công phi kỹ thuật, lừa đảo hoặc tấn công vật lý đối với nhân viên, người dùng hoặc cơ sở hạ tầng nói chung.