TradingView

Bug-Bounty-Programm

Wenn Sie uns über eine Sicherheitslücke informieren möchten, senden Sie uns bitte einen Bericht über HackerOne.

Der Umfang des Programms

Wir bieten Belohnungen für Hinweise, die Sicherheitsschwachstellen in unseren Diensten, Infrastrukturen, Web- und mobilen Anwendungen aufzeigen:

TradingView.com sowie Subdomains

Native iOS App

Native Android App

Charting-Lösungen

Desktop App

Belohnungen

Ihre Belohnung hängt von der entdeckten Schwachstelle und deren Sicherheitsauswirkungen ab. Siehe Details unten.

Hoch

Für eine Schwachstelle, die unsere gesamte Plattform betrifft.

  • Remote code execution (RCE)
  • Zugang zum Administrator erhalten
  • Injektionen mit erheblichem Einfluss
  • Uneingeschränkter Zugriff auf lokale Dateien oder Datenbanken
  • Server-Seitige Request Forgery (SSRF)
  • Offenlegung kritischer Informationen

Mittel

Für eine Schwachstelle, die keine Benutzerinteraktion erfordert und viele User betrifft.

  • Stored Cross-Site Scripting (XSS) mit erheblichen Auswirkungen
  • Ein Authentifizierungs-Bypass, der die Änderung von Benutzerdaten oder den Zugriff auf private Daten ermöglicht.
  • Insecure Direct Object References (IDOR)
  • Übernahme einer Subdomain

Niedrig

Für eine Schwachstelle, die Benutzerinteraktion erfordert und individuelle User betrifft.

  • Cross-Site Scripting (XSS), ausgenommen self-XSS
  • Cross-Site Request Forgery (CSRF)
  • URL Weiterleitung
  • Manipulation der Reputation der Nutzer

Die Beträge der Belohnungen können unterschiedlich ausfallen. Die tatsächliche Belohnung kann je nach Schweregrad, Echtheit und Ausnutzungsmöglichkeiten der Fehler sowie der Umgebung und anderen Faktoren, die die Sicherheit beeinflussen, variieren.

Schwachstellen von Hilfsdiensten wie Wiki, Blog usw. sowie Schwachstellen von Nicht-Produktionsumgebungen wie 'beta', 'staging', 'demo' usw. werden nur dann belohnt, wenn sie unseren Service als Ganzes betreffen oder einen Verlust sensibler Benutzerdaten verursachen können.

Regeln

  1. Ein Fehlerbericht sollte eine detaillierte Beschreibung der entdeckten Schwachstelle, sowie der Schritte enthalten, die unternommen werden müssen, um diese zu reproduzieren. Auch ein funktionierendes Proof-of-Concept ist gut. Wenn Sie keine Details zu Schwachstellen beschreiben, kann es sehr lange dauern, die Meldung zu überprüfen, und/oder es kann zu einer Ablehnung Ihrer Meldung kommen.
  2. Bitte reichen Sie nur eine Schwachstelle pro Bericht ein, es sei denn, Sie müssen die Schwachstellen aneinanderreihen, um die Auswirkungen darzustellen.
  3. Nur die erste Person, die eine unbekannte Sicherheitslücke meldet, wird belohnt. Wenn es zu Doppelmeldungen kommt, wird nur die erste Meldung belohnt, wenn die Schwachstelle vollständig reproduziert werden kann.
  4. Sie sollten keine automatisierten Tools und Scanner verwenden, um Schwachstellen zu finden, da solche Berichte ignoriert werden.
  5. Sie sollten keine Angriffe durchführen, die unsere Dienste oder Daten einschließlich Kundendaten beschädigen könnten. DDoS, Spam, Brute-Force-Angriffe sind nicht erlaubt.
  6. Sie sollten keine anderen User ohne deren ausdrückliche Zustimmung einbeziehen.
  7. Sie sollten keine nicht technischen Angriffe wie Social Engineering (z. B. Phishing, Vishing, Smishing) oder physische Angriffe gegen unsere Mitarbeiter, Nutzer oder die Infrastruktur im Allgemeinen durchführen oder versuchen, diese durchzuführen.
  8. Bitte liefern Sie detaillierte Berichte mit reproduzierbaren Schritten. Wenn der Bericht nicht detailliert genug ist, um das Problem zu reproduzieren, wird das Problem nicht für eine Belohnung infrage kommen.
  9. Mehrere Sicherheitslücken, die durch ein einziges Problem verursacht werden, werden mit einem Prämienbetrag belohnt.
  10. Bitte bemühen Sie sich nach bestem Wissen und Gewissen, Verletzungen des Datenschutzes, die Zerstörung von Daten und die Unterbrechung oder Beeinträchtigung unseres Dienstes zu vermeiden.

Schwachstellen außerhalb des Geltungsbereichs

Die folgenden Themen werden als nicht in den Geltungsbereich fallend betrachtet:

  • Schwachstellen in der Software des Users oder Schwachstellen, die einen vollständigen Zugriff auf die Software des Users, Konten, E-Mails, Telefon usw. erfordern.
  • Schwachstellen oder Leaks in Diensten von Drittanbietern.
  • Schwachstellen oder alte Versionen von Software/Protokollen von Drittanbietern, verpasster Schutz sowie eine Abweichung von bewährten Verfahren, die keine Sicherheitsbedrohung darstellen.
  • Schwachstellen ohne wesentliche Auswirkungen auf die Sicherheit oder die Einsatzmöglichkeit.
  • Schwachstellen, die vom User ungewöhnliche Aktionen erfordern.
  • Offenlegung öffentlicher oder nicht sensibler Informationen.
  • Homographische Angriffe.
  • Schwachstellen, die rooted, jailbroken oder modifizierte Geräte und Anwendungen erfordern.
  • Jede Aktivität, die zu einer Unterbrechung unseres Dienstes führen könnte.

Es gibt mehrere Beispiele für solche Schwachstellen, die nicht belohnt werden:

  • EXIF-Geolokalisierungsdaten werden nicht entfernt.
  • Clickjacking auf Seiten ohne sensible Aktionen.
  • Cross-Site Request Forgery (CSRF) auf nicht authentifizierten Formularen oder Formularen ohne sensible Aktionen, Log-out CSRF.
  • Schwache Chiffren oder TLS-Konfiguration ohne einen funktionierenden Proof of Concept.
  • Probleme mit Spoofing oder Injektion von Inhalten, ohne einen Angriffsvektor zu zeigen.
  • Probleme mit der Ratenbegrenzung oder Brute-Force-Methoden an Endpunkten ohne Authentifizierung.
  • Fehlende HttpOnly- oder Secure-Flags bei Cookies.
  • Offenlegung der Softwareversion. Probleme bei der Identifizierung von Bannern. Beschreibende Fehlermeldungen oder Header (z. B. Stack Traces, Anwendungs- oder Serverfehler).
  • Öffentliche Zero-Day-Schwachstellen, für die es seit weniger als einem Monat einen offiziellen Patch gibt, werden von Fall zu Fall bewertet.
  • Tabnabbing.
  • Vorhandensein des Benutzers. Aufzählung von Benutzern, E-Mails oder Telefonnummern.
  • Fehlende Einschränkungen der Passwortkomplexität.

Bounty-Hunter

Wir möchten den unten aufgeführten Personen für ihre Beiträge aufrichtig danken.

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague