Commencez

Bug Bounty program

Found a vulnerability on our platform? Let us know.

About the program

Get rewarded for helping us improve our platform. Reports can cover security vulnerabilities in our services, infrastructure, and applications.

Site Web

Problèmes sur TradingView.com et ses sous-domaines.

Apps mobiles

Problèmes sur les plateformes iOS et Android.

Solutions pour la création de graphiques 

Erreurs dans les outils, les widgets ou les API.

App Desktop

Bugs ou problèmes de performance dans l'application desktop.

Reward levels

Your reward depends on the type of vulnerability reported and its overall security impact.

  • Remote code execution (RCE) or administrator access
  • High-impact injection vulnerabilities
  • Unrestricted access to local files or databases
  • Authentication bypass allowing modification of user data or access to private data
  • Subdomain takeover
  • Logical flaws causing financial impact e.g., obtaining a subscription for free
  • Cross-site scripting (XSS), excluding self-XSS
  • Cross-site request forgery (CSRF)
  • User reputation manipulation
  • Low-impact injection vulnerabilities
  • Bypassing user restrictions

Reward amounts can vary. The actual reward may change depending on the severity, genuineness, and exploitation possibilities of bugs, as well as the environment and other factors that affect security.

Les vulnérabilités de services auxiliaires tels que Wiki, Blog, etc., ainsi que les vulnérabilités d'environnements non productifs, tels que les versions "bêta", "mise en scène", "démo", etc. ne sont récompensées que lorsqu'elles affectent l'ensemble de notre service ou peuvent générer des fuites de données sensibles.

Règles

  1. Un rapport de bug doit inclure une description détaillée de la vulnérabilité découverte et les étapes à suivre pour la reproduire ou une preuve de concept opérationnelle. Si vous ne décrivez pas les détails de la vulnérabilité, l'examen du rapport peut prendre beaucoup de temps et / ou peut entraîner le rejet de votre rapport.
  2. Veuillez ne soumettre qu'une seule vulnérabilité par rapport, sauf si vous devez enchaîner les vulnérabilités pour produire un impact.
  3. Seule la première personne à signaler une vulnérabilité inconnue sera récompensée. En cas de doublons, nous ne récompenserons le premier rapport que si la vulnérabilité peut être entièrement reproduite.
  4. Vous ne devez pas utiliser d'outils et de scanners automatisés pour rechercher des vulnérabilités, car ces rapports seront ignorés.
  5. You should not perform any attack that could damage our services or data including client data. If it's discovered that DDoS, spam, and brute force attacks have occurred rewards will not be given.
  6. Vous ne devez pas impliquer d’autres utilisateurs sans leur consentement explicite.
  7. Vous ne devez pas effectuer ou essayer de réaliser des attaques non techniques telles que l'ingénierie sociale, le phishing ou des attaques physiques contre nos employés, les utilisateurs ou l'infrastructure en général.
  8. Veuillez fournir des rapports détaillés avec des étapes reproductibles. Si le rapport n'est pas suffisamment détaillé pour reproduire le problème, celui-ci ne pourra pas être récompensé.
  9. Les vulnérabilités multiples causées par un problème sous-jacent seront récompensées par une prime.
  10. Veuillez faire un effort de bonne foi pour éviter les violations de la vie privée, la destruction des données et l'interruption ou la dégradation de notre service.

Vulnérabilités hors champ d'application

The following issues are considered out of scope.

  • Vulnerabilities in users' software or vulnerabilities that require full access to user's software, account/s, email, phone etc
  • Vulnerabilities or leaks in third-party services
  • Vulnerabilities or old versions of third party software/protocols, missed protection as well as a deviation from best practices that don't create a security threat
  • Vulnerabilities with no substantial security impact or exploitation possibility
  • Vulnerabilities that require the user to perform unusual actions
  • Disclosure of public or non-sensitive information
  • Homograph attacks
  • Vulnerabilities that require rooted, jailbroken or modified devices and applications
  • Any activity that could lead to the disruption of our service

There are several examples of such vulnerabilities that are not rewarded.

  • EXIF geolocation data not stripped
  • Clickjacking on pages with no sensitive actions
  • Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions, logout CSRF
  • Weak ciphers or TLS configuration without a working Proof of Concept
  • Content spoofing or injection issues without showing an attack vector
  • Rate limiting or brute force issues on non-authentication endpoints
  • Missing HttpOnly or Secure flags on cookies
  • Software version disclosure. Banner identification issues. Descriptive error messages or headers (e.g. stack traces, application or server errors)
  • Public zero-day vulnerabilities that have had an official patch for less than 1 month will be awarded on a case by case basis
  • Tabnabbing
  • User existence. User, email or phone number enumeration
  • Lack of password complexity restrictions