TradingView
Bug賞金計劃
如果您想讓我們知道某個漏洞,請透過 HackerOne 提交報告。
獎勵
您的獎勵將取決於發現的漏洞以及對安全的影響。請參閱下面的詳細資訊。
高
對於影響我們整個平台的安全漏洞
- 遠程執行代碼(RCE)
- 獲得管理員訪問權限
- 具有重大影響的Injection攻擊
- 不受限制地訪問本地文件或資料庫
- 主機端偽造請求(SSRF)
- 關鍵資訊披露
中
對於不需要藉助用戶互動以及會影響許多用戶的漏洞
- 具有重大影響的儲存型跨網站指令碼攻擊(XSS)
- 身份驗證旁路,允許更改用戶資料或訪問私密資料
- 不安全的直接物件參考(IDOR)漏洞
- 子域名劫持
低
對於需要用戶互動或影響個別用戶的漏洞
- 跨站腳本攻擊(XSS),self-XSS除外
- 跨站請求偽造(CSRF)
- URL重新導向
- 用戶聲譽值操縱
請注意,獎勵金額可能不同。實際的獎勵可能會有所不同,具體取決於漏洞的嚴重性、真實性和開發的可能性、以及環境和其他影響安全性的因素。
部落格等輔助服務的漏洞和“beta”、“staging”、“demo”等非生產環境的漏洞,只有在影響我們整體服務,或可能導致敏感用戶數據洩露時才會獎勵。
規則
- 錯誤報告應包括已發現漏洞的詳細說明,以及為重現漏洞而需要採取的步驟或可執行的概念驗證。如果您未描述漏洞詳細訊息,則可能需要很長時間才能審核報告和/或可能導致拒絕您的報告。
- 一份報告僅提交一個漏洞,除非您需要連結漏洞以提供其影響。
- 只有第一個報告未知漏洞的人將獲得獎勵。當出現重複時,我們僅在漏洞可以完全重現的情況下授予第一次報告。
- 您不應使用自動化工具和掃描程式來查找漏洞,此類報告將被忽略。
- 你不應該進行任何可能損害我們的服務或資料(包括客戶資料)的攻擊。禁止DDoS、spam、暴力攻擊。
- 未經他們的明確同意,您不應讓其他用戶參與其中。在測試期間建立私密想法、腳本和其他內容。
- 您不應執行或嘗試執行非技術攻擊,例如社交工程(例如phishing, vishing, smishing),或對我們的員工、用戶或一般基礎架構的物理攻擊。
- 請提供具有可重複步驟的詳細報告。如果報告不夠詳細,無法重現問題,則該問題將沒有資格獲得獎勵。
- 由一個潛在問題引起的多個漏洞將獲得一份賞金。
- 請善意努力避免侵犯隱私、破壞數據以及中斷或降低我們的服務。
超出範圍漏洞
以下問題被視為超出範圍:
- 用戶軟體裡的漏洞,或需要完全存取用戶軟體、賬戶、電子郵件、電話等的漏洞
- 第三方服務裡的漏洞或洩漏;
- 第三方軟件/協議的漏洞或舊版本、缺少保護以及與不會造成安全威脅的最佳做法偏離。
- 沒有重大安全影響或利用可能性的漏洞。
- 需要用戶執行異常操作的漏洞。
- 公開披露或非敏感的資訊;
- 同形異義字攻擊。
- 需要rooted、越獄、或修改過的設備和應用程式的漏洞。
- 任何可能導致我們服務中斷的活動。
以下是沒有得到獎勵的漏洞的幾個例子:
- EXIF地理位置數據未剝離。
- 在沒有敏感操作的頁面上點擊劫持。
- 未經身份驗證的表單或沒有敏感操作的表單上的跨站點請求偽造(CSRF),註銷CSRF。
- 沒有有效的概念證明的弱密碼或TLS配置。
- 不顯示攻擊意味的內容欺騙或註入問題。
- 非身份驗證端點上的速率限制或暴力破解問題。
- cookie上缺少HttpOnly或Secure標誌。
- 軟體版本披露。橫幅識別問題。描述性錯誤消息或標題(例如堆疊追蹤、應用程式或伺服器錯誤)。
- 官方補丁不到1個月的公開零日漏洞,將根據具體情況給予獎勵。
- 反向標籤劫持攻擊(Tabnabbing)。
- 用戶存在。用戶、電子郵件或電話號碼列舉。
- 缺乏密碼複雜性限制。
賞金獵人
我們衷心感謝以下研究人員所做的貢獻。
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh