Programme de prime anti-bugs

TradingView

Si vous souhaitez nous faire part d'une vulnérabilité, veuillez soumettre un rapport via HackerOne.

L'étendue du programme

Nous offrons des récompenses pour les rapports qui couvrent des vulnérabilités de sécurité dans nos services, notre infrastructure, nos applications Web et mobiles, telles que:

TradingView.com ainsi que les sous-domaines

App iOS native

App Android native

Solutions de cartographie

App Desktop

Récompenses

Votre récompense dépendra de la vulnérabilité découverte ainsi que de son impact sur la sécurité. Voir les détails ci-dessous.

Haute

Pour une vulnérabilité qui affecte l'ensemble de notre plateforme

  • Exécution de code à distance (RCE)
  • Obtenir un accès administrateur
  • Injections ayant un impact significatif
  • Accès illimité aux fichiers locaux ou aux bases de données
  • Falsification de requêtes côté serveur (SSRF)
  • Divulgation d'informations critiques

Medium

Pour une vulnérabilité qui ne nécessite pas l’interaction de l’utilisateur et qui affecte de nombreux utilisateurs

  • XSS (Stored Cross-Site Scripting) ayant un impact significatif
  • Un contournement d'authentification qui permet de changer les données de l'utilisateur ou d'accéder aux données privées
  • Références directes non sécurisées à un objet (IDOR)
  • Prise de contrôle d'un sous-domaine

Basse

Pour une vulnérabilité nécessitant une interaction de l'utilisateur ou affectant des utilisateurs individuels

  • Scripting intersite (XSS), sauf l'auto-XSS
  • Falsification de requête intersite (CSRF)
  • Redirection d'URL
  • Manipulation de la réputation de l'utilisateur

Notez que les montants des récompenses peuvent être différents. Une récompense réelle peut varier en fonction de la gravité, de l’authenticité et des possibilités d’exploitation des bugs, ainsi que de l’environnement et d’autres facteurs ayant une incidence sur la sécurité.

Les vulnérabilités de services auxiliaires tels que Wiki, Blog, etc., ainsi que les vulnérabilités d'environnements non productifs, tels que les versions "bêta", "mise en scène", "démo", etc. ne sont récompensées que lorsqu'elles affectent l'ensemble de notre service ou peuvent générer des fuites de données sensibles.

Règles

  1. Un rapport de bug doit inclure une description détaillée de la vulnérabilité découverte et les étapes à suivre pour la reproduire ou une preuve de concept opérationnelle. Si vous ne décrivez pas les détails de la vulnérabilité, l'examen du rapport peut prendre beaucoup de temps et / ou peut entraîner le rejet de votre rapport.
  2. Veuillez ne soumettre qu'une seule vulnérabilité par rapport, sauf si vous devez enchaîner les vulnérabilités pour produire un impact.
  3. Seule la première personne à signaler une vulnérabilité inconnue sera récompensée. En cas de doublons, nous ne récompenserons le premier rapport que si la vulnérabilité peut être entièrement reproduite.
  4. Vous ne devez pas utiliser d'outils et de scanners automatisés pour rechercher des vulnérabilités, car ces rapports seront ignorés.
  5. Vous ne devez effectuer aucune attaque susceptible d’endommager nos services ou nos données, y compris les données client. Les attaques par DDoS, spam et force brute ne sont pas autorisées.
  6. Vous ne devez pas impliquer d’autres utilisateurs sans leur consentement explicite.
  7. Vous ne devez pas effectuer ou essayer de réaliser des attaques non techniques telles que l'ingénierie sociale, le phishing ou des attaques physiques contre nos employés, les utilisateurs ou l'infrastructure en général.
  8. Veuillez fournir des rapports détaillés avec des étapes reproductibles. Si le rapport n'est pas suffisamment détaillé pour reproduire le problème, celui-ci ne pourra pas être récompensé.
  9. Les vulnérabilités multiples causées par un problème sous-jacent seront récompensées par une prime.
  10. Veuillez faire un effort de bonne foi pour éviter les violations de la vie privée, la destruction des données et l'interruption ou la dégradation de notre service.

Vulnérabilités hors champ d'application

Les points suivants sont considérés comme hors champ:

  • Vulnérabilités dans les logiciels de l’utilisateur ou vulnérabilités nécessitant un accès complet aux logiciels, comptes / comptes, courriels, téléphones, etc.
  • Vulnérabilités ou fuites dans les services tiers;
  • Vulnérabilités ou anciennes versions de logiciels / protocoles tiers, protection lacunaire ainsi qu’un écart par rapport aux meilleures pratiques qui ne crée pas de menace pour la sécurité;
  • Des vulnérabilités sans impact important sur la sécurité ni la possibilité d'exploitation;
  • Des vulnérabilités qui obligent l'utilisateur à effectuer des actions inhabituelles;
  • Divulgation d'informations publiques ou non sensibles;
  • Attaques homographes;
  • Des vulnérabilités nécessitant des dispositifs et des applications enracinés, jailbreakés ou modifiés.
  • Toute activité susceptible d'entraîner l'interruption de notre service.

Il existe plusieurs exemples de ces vulnérabilités qui ne sont pas récompensées:

  • Données de géolocalisation EXIF non décompactées.
  • Le clickjacking sur des pages sans actions sensibles.
  • Cross-Site Request Forgery (CSRF) sur des formulaires non authentifiés ou des formulaires sans actions sensibles, CSRF de déconnexion.
  • Chiffrements faibles ou configuration TLS sans preuve de concept fonctionnelle.
  • Problèmes d'usurpation de contenu ou d'injections ne présentant pas de vecteur d'attaque.
  • Problèmes de limitation de débit ou de force brute sur les points d'extrémité non authentifiés.
  • Absence des drapeaux HttpOnly ou Secure sur les cookies.
  • Divulgation de la version du logiciel. Problèmes d'identification des bannières. Messages d'erreur descriptifs ou en-têtes (par exemple, traçages de paquets, erreurs d'application ou de serveur).
  • Les vulnérabilités publiques de type "zero-day" pour lesquelles il existe un correctif officiel depuis moins d'un mois seront récompensées au cas par cas.
  • Tabnabbing.
  • Existence de l'utilisateur. Énumération de l'utilisateur, de l'email ou du numéro de téléphone.
  • Absence de restrictions sur la complexité des mots de passe.

Chasseurs de primes

Nous tenons à remercier sincèrement les "rechercheurs" mentionnés ci-dessous pour leurs contributions.

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague