TradingView Bug Bounty Programm

Falls Sie einen Sicherheitsfehler gefunden haben und uns diesen mitteilen möchten, senden Sie uns bitte eine E-Mail an

Der Umfang des Programms

Wir bieten Belohnungen für Hinweise, die Sicherheitsschwachstellen in unseren Diensten, Infrastrukturen, Web- und mobilen Anwendungen aufzeigen:

TradingView.com sowie Subdomains
Native iOS App
Native Android App
Charting Bibliothek und Trading Terminal

Belohnungen

Ihre Belohnung hängt von der entdeckten Schwachstelle und deren Sicherheitsauswirkungen ab. Siehe Details unten.
bis zu$1500
Für eine Schwachstelle, die unsere gesamte Plattform betrifft.
  • Remote code execution (RCE)
  • Administrator Zugang erhalten
  • Injektionen mit erheblichem Einfluss
  • Uneingeschränkter Zugriff auf lokale Dateien oder Datenbanken
  • Server-Seitige Request Forgery (SSRF)
  • Offenlegung kritischer Informationen
bis zu$700
Für eine Schwachstelle, die keine Benutzerinteraktion erfordert und viele User betrifft.
  • Stored Cross-Site Scripting (XSS) mit erheblichen Auswirkungen
  • Ein Authentifizierungs-Bypass, der die Änderung von Benutzerdaten oder den Zugriff auf private Daten ermöglicht.
  • Unsichere direkte Objektreferenzen (IDOR)
bis zu$300
Für eine Schwachstelle, die Benutzerinteraktion erfordert und individuelle User betrifft.
  • Cross-Site Scripting (XSS), ausgenommen self-XSS
  • Cross-Site Request Forgery (CSRF)
  • URL Weiterleitung
  • User Reputation Manipulation
Beachten Sie, dass die Belohnungsbeträge unterschiedlich sein können. Eine tatsächliche Belohnung kann je nach Schwere, Authentizität und Nutzungsmöglichkeiten von Bugs sowie der Umgebung und anderen Faktoren, welche die Sicherheit beeinträchtigen, variieren.

Schwachstellen von Hilfsdiensten wie Wiki, Blog usw. sowie Schwachstellen von Nicht-Produktionsumgebungen wie 'beta', 'staging', 'demo' usw. werden nur dann belohnt, wenn sie unseren Service als Ganzes betreffen oder einen Verlust sensibler Benutzerdaten verursachen können.

Sie benötigen eine PayPal-ID, da wir PayPal zum Übertragen von Prämien verwenden.

Sie erhalten KEINE Belohnung für die Entdeckung der folgenden Schwachstellen:

  • Wenn Sie nicht der erste sind, der diese Schwachstelle meldet;
  • Schwachstellen in der Software des Users oder Schwachstellen, die einen vollständigen Zugriff auf die Software des Users, Konten, E-Mails, Telefon usw. erfordern.;
  • Schwachstellen oder Leaks in Diensten von Drittanbietern;
  • Schwachstellen oder alte Versionen von Software/Protokollen von Drittanbietern, verpasster Schutz sowie eine Abweichung von Best Practices, die keine Sicherheitsbedrohung darstellen;
  • Schwachstellen ohne wesentliche Auswirkungen auf die Sicherheit oder die Einsatzmöglichkeit;
  • Schwachstellen, die vom User ungewöhnliche Aktionen erfordern;
  • Offenlegung öffentlicher oder nicht sensibler Informationen;
  • Homographische Angriffe;
  • Schwachstellen, die rooted, jailbroken oder modifizierte Geräte und Anwendungen erfordern.

Regeln

  1. Bitte haben Sie Geduld, da die Berichte innerhalb von zwei Wochen geprüft werden und wir manchmal mehr Zeit benötigen, um das Problem zu beheben.
  2. Ein Fehlerbericht sollte eine detaillierte Beschreibung der entdeckten Schwachstelle, sowie der Schritte enthalten, die unternommen werden müssen, um diese zu reproduzieren. Auch ein funktionierendes Proof-of-Concept ist gut. Wenn Sie keine Details zu Schwachstellen beschreiben, kann es sehr lange dauern, die Meldung zu überprüfen, und/oder es kann zu einer Ablehnung Ihrer Meldung kommen.
  3. Sie sollten keine automatisierten Tools und Scanner verwenden, um Schwachstellen zu finden, da solche Berichte ignoriert werden.
  4. Sie sollten keine Angriffe durchführen, die unsere Dienste oder Daten einschließlich Kundendaten beschädigen könnten. DDoS, Spam, Brute-Force-Angriffe sind nicht erlaubt.
  5. Sie sollten keine anderen User ohne deren ausdrückliche Zustimmung einbeziehen.
  6. Sie sollten keine nicht-technischen Angriffe wie Social Engineering, Phishing oder physische Angriffe auf unsere Mitarbeiter, User oder die Infrastruktur im Allgemeinen durchführen, oder versuchen solche durchzuführen.

Bounty Hunters

Wir möchten den unten aufgeführten Personen für ihre Beiträge aufrichtig danken.

card-icon
Aaron Luo
card-icon
Maxence Schmitt
card-icon
Sumit Jain
card-icon
Ali Tütüncü
card-icon
Kitab Ahmed
card-icon
Jatinder Pal Singh
card-icon
Eugen Lague
Startseite Aktien-Screener Forex-Screener Krypto-Screener Wirtschaftskalender So funktioniert es! Chartmerkmale Preise Einen Freund empfehlen Hausregeln Hilfe Center Webseite & Brokerlösungen Widgets Charting Lösungen Lightweight Charting Library Blog & News Twitter
Profil Profileinstellungen Konto und Abrechnung Einen Freund empfehlen Meine Support Tickets Hilfe Center Veröffentlichte Ideen Followers Ich folge Private Nachrichten Chat Abmelden