«Охота за ошибками» TradingView

Если вы хотите сообщить нам об уязвимости, пожалуйста, воспользуйтесь HackerOne.

Описание программы

Мы предлагаем вознаграждения за отчеты о найденных уязвимостях наших сервисов, инфраструктуры, веб и мобильных приложений, включая:

TradingView.com и все поддомены

Нативное iOS приложение

Нативное Android приложение

Библиотеку графиков и Торговый терминал

Вознаграждения

Ваше вознаграждение будет зависеть от найденной уязвимости, а также её влияния на безопасность. Более подробно ниже.

до^$1500

За уязвимость, влияющую на работу всей платформы

Удаленное выполнение кода (RCE)
Получение административного доступа
Инъекции с существенным влиянием
Неограниченный доступ к локальным файлам или базам данных
Подделка запросов на стороне сервера (SSRF)
Раскрытие особо важной информации

до^$700

За уязвимость без пользовательского взаимодействия, но затронувшую многих пользователей

Хранимое межсайтовое выполнение сценариев (stored XSS) c существенным влиянием
Обход аутентификации, позволяющий изменять данные пользователей или предоставляющий доступ к конфиденциальной информации
Небезопасные прямые ссылки на объекты (IDOR)

до^$300

За уязвимость, требующую взаимодействия с пользователем или затронувшую отдельных пользователей

Межсайтовое выполнение сценариев (XSS), кроме self-XSS
Межсайтовая подделка запроса (CSRF)
Перенаправление URL
Манипулирование пользовательской репутацией

Обратите внимание, что суммы вознаграждений могут быть разными. Фактическое вознаграждение может варьироваться в зависимости от серьезности, уникальности и возможности эксплуатации уязвимости, а также от окружения и других факторов, влияющих на безопасность.

Уязвимости вспомогательных служб, таких как Wiki, Блог и т. д., а также непроизводственного окружения, например, 'beta', 'staging', 'demo' и т. д. вознаграждаются только тогда, когда они влияют на наш сервис в целом, или могут привести к утечке важных пользовательских данных.

Вам понадобится PayPal ID, поскольку мы используем PayPal для начисления вознаграждений.

Вы НЕ сможете получить вознаграждение, если:

вы не первый, кто сообщил об этой уязвимости;
уязвимость находится в пользовательском программном обеспечении, или требуется полный доступ к пользовательскому ПО, учетной записи, электронной почте, телефону и т. д.;
это уязвимость или ошибки в сторонних службах;
это уязвимости или старые версии стороннего ПО или протоколов, отсутствующая защита, а также отклонение от лучших практик, которые не влекут угрозу безопасности;
это уязвимость без существенного влияния на безопасность или возможности эксплуатации;
это уязвимости, которые требуют от пользователя выполнения необычных действий;
это раскрытие общедоступной или несекретной информации;
это омографические атаки;
это уязвимости, требующие "рутирования", взлома или модифицирования устройств и приложений.

Правила

Пожалуйста, будьте терпеливы, так как отчёты проверяются в течение двух недель, и иногда нужно время, чтобы исправить ошибку.
Отчёт об ошибке должен содержать подробное описание обнаруженной уязвимости и шагов, которые необходимо предпринять, чтобы воспроизвести её или подтверждение работоспособности концепции. Если вы не опишете уязвимость в деталях, может потребоваться много времени, чтобы проверить отчёт, и/или приведёт к отклонению вашего отчёта.
Запрещено использовать автоматизированные средства и сканеры для поиска уязвимостей, такие отчеты не будут рассматриваться.
Запрещено совершать какие-либо атаки, которые могут нанести ущерб нашим сервисам или данным клиента. Атаки DDoS, спам и подбор методом грубой силы (brute force) запрещены.
Запрещено привлекать других пользователей без их прямого согласия.
Запрещено выполнять или пытаться осуществлять атаки не технического характера, такие как социальная инженерия, фишинг или физическое воздействие против наших сотрудников, пользователей или инфраструктуры.