«Охота за ошибками» TradingView
Если вы обнаружили ошибку в системе безопасности и хотите сообщить нам об этом, напишите на
Описание программы
Мы предлагаем вознаграждения за отчеты о найденных уязвимостях наших сервисов, инфраструктуры, веб и мобильных приложений, включая:
TradingView.com и все поддомены
Нативное iOS приложение
Нативное Android приложение
Библиотеку графиков и Торговый терминал
Вознаграждения
Ваше вознаграждение будет зависеть от найденной уязвимости, а также её влияния на безопасность. Более подробно ниже.
до$1500
За уязвимость, влияющую на работу всей платформы
- Удаленное выполнение кода (RCE)
- Получение административного доступа
- Инъекции с существенным влиянием
- Неограниченный доступ к локальным файлам или базам данных
- Подделка запросов на стороне сервера (SSRF)
- Раскрытие особо важной информации
до$700
За уязвимость без пользовательского взаимодействия, но затронувшую многих пользователей
- Хранимое межсайтовое выполнение сценариев (stored XSS) c существенным влиянием
- Обход аутентификации, позволяющий изменять данные пользователей или предоставляющий доступ к конфиденциальной информации
- Небезопасные прямые ссылки на объекты (IDOR)
до$300
За уязвимость, требующую взаимодействия с пользователем или затронувшую отдельных пользователей
- Межсайтовое выполнение сценариев (XSS), кроме self-XSS
- Межсайтовая подделка запроса (CSRF)
- Перенаправление URL
- Манипулирование пользовательской репутацией
Обратите внимание, что суммы вознаграждений могут быть разными. Фактическое вознаграждение может варьироваться в зависимости от серьезности, уникальности и возможности эксплуатации уязвимости, а также от окружения и других факторов, влияющих на безопасность.
Уязвимости вспомогательных служб, таких как Wiki, Блог и т. д., а также непроизводственного окружения, например, 'beta', 'staging', 'demo' и т. д. вознаграждаются только тогда, когда они влияют на наш сервис в целом, или могут привести к утечке важных пользовательских данных.
Вам понадобится PayPal ID, поскольку мы используем PayPal для начисления вознаграждений.
Вы НЕ сможете получить вознаграждение, если:
- вы не первый, кто сообщил об этой уязвимости;
- уязвимость находится в пользовательском программном обеспечении, или требуется полный доступ к пользовательскому ПО, учетной записи, электронной почте, телефону и т. д.;
- это уязвимость или ошибки в сторонних службах;
- это уязвимости или старые версии стороннего ПО или протоколов, отсутствующая защита, а также отклонение от лучших практик, которые не влекут угрозу безопасности;
- это уязвимость без существенного влияния на безопасность или возможности эксплуатации;
- это уязвимости, которые требуют от пользователя выполнения необычных действий;
- это раскрытие общедоступной или несекретной информации;
- это омографические атаки;
- это уязвимости, требующие "рутирования", взлома или модифицирования устройств и приложений.
Правила
- Пожалуйста, будьте терпеливы, так как отчёты проверяются в течение двух недель, и иногда нужно время, чтобы исправить ошибку.
- Отчёт об ошибке должен содержать подробное описание обнаруженной уязвимости и шагов, которые необходимо предпринять, чтобы воспроизвести её или подтверждение работоспособности концепции. Если вы не опишете уязвимость в деталях, может потребоваться много времени, чтобы проверить отчёт, и/или приведёт к отклонению вашего отчёта.
- Запрещено использовать автоматизированные средства и сканеры для поиска уязвимостей, такие отчеты не будут рассматриваться.
- Запрещено совершать какие-либо атаки, которые могут нанести ущерб нашим сервисам или данным клиента. Атаки DDoS, спам и подбор методом грубой силы (brute force) запрещены.
- Запрещено привлекать других пользователей без их прямого согласия.
- Запрещено выполнять или пытаться осуществлять атаки не технического характера, такие как социальная инженерия, фишинг или физическое воздействие против наших сотрудников, пользователей или инфраструктуры.
Охота за ошибками
Мы хотим поблагодарить тех, кто внёс большой вклад в исследование и поиск.
