TradingView
Bug-Bounty-Programm
Wenn Sie uns über eine Sicherheitslücke informieren möchten, senden Sie uns bitte einen Bericht über HackerOne.
Der Umfang des Programms
Wir bieten Belohnungen für Hinweise, die Sicherheitsschwachstellen in unseren Diensten, Infrastrukturen, Web- und mobilen Anwendungen aufzeigen:
Belohnungen
Ihre Belohnung hängt von der entdeckten Schwachstelle und deren Sicherheitsauswirkungen ab. Siehe Details unten.
Hoch
Für eine Schwachstelle, die unsere gesamte Plattform betrifft.
- Remote code execution (RCE)
- Zugang zum Administrator erhalten
- Injektionen mit erheblichem Einfluss
- Uneingeschränkter Zugriff auf lokale Dateien oder Datenbanken
- Server-Seitige Request Forgery (SSRF)
- Offenlegung kritischer Informationen
Mittel
Für eine Schwachstelle, die keine Benutzerinteraktion erfordert und viele User betrifft.
- Stored Cross-Site Scripting (XSS) mit erheblichen Auswirkungen
- Ein Authentifizierungs-Bypass, der die Änderung von Benutzerdaten oder den Zugriff auf private Daten ermöglicht.
- Insecure Direct Object References (IDOR)
- Übernahme einer Subdomain
Niedrig
Für eine Schwachstelle, die Benutzerinteraktion erfordert und individuelle User betrifft.
- Cross-Site Scripting (XSS), ausgenommen self-XSS
- Cross-Site Request Forgery (CSRF)
- URL Weiterleitung
- Manipulation der Reputation der Nutzer
Die Beträge der Belohnungen können unterschiedlich ausfallen. Die tatsächliche Belohnung kann je nach Schweregrad, Echtheit und Ausnutzungsmöglichkeiten der Fehler sowie der Umgebung und anderen Faktoren, die die Sicherheit beeinflussen, variieren.
Schwachstellen von Hilfsdiensten wie Wiki, Blog usw. sowie Schwachstellen von Nicht-Produktionsumgebungen wie 'beta', 'staging', 'demo' usw. werden nur dann belohnt, wenn sie unseren Service als Ganzes betreffen oder einen Verlust sensibler Benutzerdaten verursachen können.
Regeln
- Ein Fehlerbericht sollte eine detaillierte Beschreibung der entdeckten Schwachstelle, sowie der Schritte enthalten, die unternommen werden müssen, um diese zu reproduzieren. Auch ein funktionierendes Proof-of-Concept ist gut. Wenn Sie keine Details zu Schwachstellen beschreiben, kann es sehr lange dauern, die Meldung zu überprüfen, und/oder es kann zu einer Ablehnung Ihrer Meldung kommen.
- Bitte reichen Sie nur eine Schwachstelle pro Bericht ein, es sei denn, Sie müssen die Schwachstellen aneinanderreihen, um die Auswirkungen darzustellen.
- Nur die erste Person, die eine unbekannte Sicherheitslücke meldet, wird belohnt. Wenn es zu Doppelmeldungen kommt, wird nur die erste Meldung belohnt, wenn die Schwachstelle vollständig reproduziert werden kann.
- Sie sollten keine automatisierten Tools und Scanner verwenden, um Schwachstellen zu finden, da solche Berichte ignoriert werden.
- Sie sollten keine Angriffe durchführen, die unsere Dienste oder Daten einschließlich Kundendaten beschädigen könnten. DDoS, Spam, Brute-Force-Angriffe sind nicht erlaubt.
- Sie sollten keine anderen User ohne deren ausdrückliche Zustimmung einbeziehen.
- Sie sollten keine nicht technischen Angriffe wie Social Engineering (z. B. Phishing, Vishing, Smishing) oder physische Angriffe gegen unsere Mitarbeiter, Nutzer oder die Infrastruktur im Allgemeinen durchführen oder versuchen, diese durchzuführen.
- Bitte liefern Sie detaillierte Berichte mit reproduzierbaren Schritten. Wenn der Bericht nicht detailliert genug ist, um das Problem zu reproduzieren, wird das Problem nicht für eine Belohnung infrage kommen.
- Mehrere Sicherheitslücken, die durch ein einziges Problem verursacht werden, werden mit einem Prämienbetrag belohnt.
- Bitte bemühen Sie sich nach bestem Wissen und Gewissen, Verletzungen des Datenschutzes, die Zerstörung von Daten und die Unterbrechung oder Beeinträchtigung unseres Dienstes zu vermeiden.
Schwachstellen außerhalb des Geltungsbereichs
Die folgenden Themen werden als nicht in den Geltungsbereich fallend betrachtet:
- Schwachstellen in der Software des Users oder Schwachstellen, die einen vollständigen Zugriff auf die Software des Users, Konten, E-Mails, Telefon usw. erfordern.
- Schwachstellen oder Leaks in Diensten von Drittanbietern.
- Schwachstellen oder alte Versionen von Software/Protokollen von Drittanbietern, verpasster Schutz sowie eine Abweichung von bewährten Verfahren, die keine Sicherheitsbedrohung darstellen.
- Schwachstellen ohne wesentliche Auswirkungen auf die Sicherheit oder die Einsatzmöglichkeit.
- Schwachstellen, die vom User ungewöhnliche Aktionen erfordern.
- Offenlegung öffentlicher oder nicht sensibler Informationen.
- Homographische Angriffe.
- Schwachstellen, die rooted, jailbroken oder modifizierte Geräte und Anwendungen erfordern.
- Jede Aktivität, die zu einer Unterbrechung unseres Dienstes führen könnte.
Es gibt mehrere Beispiele für solche Schwachstellen, die nicht belohnt werden:
- EXIF-Geolokalisierungsdaten werden nicht entfernt.
- Clickjacking auf Seiten ohne sensible Aktionen.
- Cross-Site Request Forgery (CSRF) auf nicht authentifizierten Formularen oder Formularen ohne sensible Aktionen, Log-out CSRF.
- Schwache Chiffren oder TLS-Konfiguration ohne einen funktionierenden Proof of Concept.
- Probleme mit Spoofing oder Injektion von Inhalten, ohne einen Angriffsvektor zu zeigen.
- Probleme mit der Ratenbegrenzung oder Brute-Force-Methoden an Endpunkten ohne Authentifizierung.
- Fehlende HttpOnly- oder Secure-Flags bei Cookies.
- Offenlegung der Softwareversion. Probleme bei der Identifizierung von Bannern. Beschreibende Fehlermeldungen oder Header (z. B. Stack Traces, Anwendungs- oder Serverfehler).
- Öffentliche Zero-Day-Schwachstellen, für die es seit weniger als einem Monat einen offiziellen Patch gibt, werden von Fall zu Fall bewertet.
- Tabnabbing.
- Vorhandensein des Benutzers. Aufzählung von Benutzern, E-Mails oder Telefonnummern.
- Fehlende Einschränkungen der Passwortkomplexität.
Bounty-Hunter
Wir möchten den unten aufgeführten Personen für ihre Beiträge aufrichtig danken.
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh