«Охота за ошибками» TradingView
Если вы обнаружили ошибку в системе безопасности и хотите сообщить нам об этом, напишите на
Описание программы
Мы предлагаем вознаграждения за отчеты о найденных уязвимостях наших сервисов, инфраструктуры, веб и мобильных приложений, включая:
TradingView.com и все поддомены
Нативное iOS приложение
Нативное Android приложение
Библиотеку графиков и Торговый терминал
Вознаграждения
Ваше вознаграждение будет зависеть от найденной уязвимости, а также её влияния на безопасность. Более подробно ниже.
до$1500
За уязвимость, влияющую на работу всей платформы
- Удаленное выполнение кода (RCE)
- Получение административного доступа
- Инъекции с существенным влиянием
- Неограниченный доступ к локальным файлам или базам данных
- Подделка запросов на стороне сервера (SSRF)
- Раскрытие особо важной информации
до$700
За уязвимость без пользовательского взаимодействия, но затронувшую многих пользователей
- Хранимое межсайтовое выполнение сценариев (stored XSS) c существенным влиянием
- Обход аутентификации, позволяющий изменять данные пользователей или предоставляющий доступ к конфиденциальной информации
- Небезопасные прямые ссылки на объекты (IDOR)
до$300
За уязвимость, требующую взаимодействия с пользователем или затронувшую отдельных пользователей
- Межсайтовое выполнение сценариев (XSS), кроме self-XSS
- Межсайтовая подделка запроса (CSRF)
- Перенаправление URL
- Манипулирование пользовательской репутацией
Обратите внимание, что суммы вознаграждений могут быть разными. Фактическое вознаграждение может варьироваться в зависимости от серьезности, уникальности и возможности эксплуатации уязвимости, а также от окружения и других факторов, влияющих на безопасность.
Уязвимости вспомогательных служб, таких как Wiki, Блог и т. д., а также непроизводственного окружения, например, 'beta', 'staging', 'demo' и т. д. вознаграждаются только тогда, когда они влияют на наш сервис в целом, или могут привести к утечке важных пользовательских данных.
Вам понадобится PayPal ID, поскольку мы используем PayPal для начисления вознаграждений.
Вы НЕ сможете получить вознаграждение, если:
- вы не первый, кто сообщил об этой уязвимости;
- уязвимость находится в пользовательском программном обеспечении, или требуется полный доступ к пользовательскому ПО, учетной записи, электронной почте, телефону и т. д.;
- это уязвимость или ошибки в сторонних службах;
- это уязвимости или старые версии стороннего ПО или протоколов, отсутствующая защита, а также отклонение от лучших практик, которые не влекут угрозу безопасности;
- это уязвимость без существенного влияния на безопасность или возможности эксплуатации;
- это уязвимости, которые требуют от пользователя выполнения необычных действий;
- это раскрытие общедоступной или несекретной информации;
- это омографические атаки;
- это уязвимости, требующие "рутирования", взлома или модифицирования устройств и приложений.
Правила
- Пожалуйста, будьте терпеливы, так как отчёты проверяются в течение двух недель, и иногда нужно время, чтобы исправить ошибку.
- Отчёт об ошибке должен содержать подробное описание обнаруженной уязвимости и шагов, которые необходимо предпринять, чтобы воспроизвести её или подтверждение работоспособности концепции. Если вы не опишете уязвимость в деталях, может потребоваться много времени, чтобы проверить отчёт, и/или приведёт к отклонению вашего отчёта.
- Запрещено использовать автоматизированные средства и сканеры для поиска уязвимостей, такие отчеты не будут рассматриваться.
- Запрещено совершать какие-либо атаки, которые могут нанести ущерб нашим сервисам или данным клиента. Атаки DDoS, спам и подбор методом грубой силы (brute force) запрещены.
- Запрещено привлекать других пользователей без их прямого согласия.
- Запрещено выполнять или пытаться осуществлять атаки не технического характера, такие как социальная инженерия, фишинг или физическое воздействие против наших сотрудников, пользователей или инфраструктуры.
