Programme TradingView de prime pour la découverte de bugs

Si vous avez trouvé un bug de sécurité et souhaitez nous le signaler, veuillez nous envoyer un courrier électronique à

L'étendue du programme

Nous offrons des récompenses pour les rapports qui couvrent des vulnérabilités de sécurité dans nos services, notre infrastructure, nos applications Web et mobiles, telles que:

TradingView.com ainsi que les sous-domaines
App iOS native
App Android native
Bibliothèque de graphiques et terminal de trading

Récompenses

Votre récompense dépendra de la vulnérabilité découverte ainsi que de son impact sur la sécurité. Voir les détails ci-dessous.
jusqu'à$1500
Pour une vulnérabilité qui affecte l'ensemble de notre plateforme
  • Exécution de code à distance (RCE)
  • Obtenir un accès administrateur
  • Injections ayant un impact significatif
  • Accès illimité aux fichiers locaux ou aux bases de données
  • Falsification de requêtes côté serveur (SSRF)
  • Divulgation d'informations critiques
jusqu'à$700
Pour une vulnérabilité qui ne nécessite pas l’interaction de l’utilisateur et qui affecte de nombreux utilisateurs
  • XSS (Stored Cross-Site Scripting) ayant un impact significatif
  • Un contournement d'authentification qui permet de changer les données de l'utilisateur ou d'accéder aux données privées
  • Références directes non sécurisées à un objet (IDOR)
jusqu'à$300
Pour une vulnérabilité nécessitant une interaction de l'utilisateur ou affectant des utilisateurs individuels
  • XSS (Stored Cross-Site Scripting) ayant un impact significatif
  • Falsification de requête intersite (CSRF)
  • Redirection d'URL
  • Manipulation de la réputation de l'utilisateur
Notez que les montants des récompenses peuvent être différents. Une récompense réelle peut varier en fonction de la gravité, de l’authenticité et des possibilités d’exploitation des bugs, ainsi que de l’environnement et d’autres facteurs ayant une incidence sur la sécurité.

Les vulnérabilités de services auxiliaires tels que Wiki, Blog, etc., ainsi que les vulnérabilités d'environnements non productifs, tels que les versions "bêta", "mise en scène", "démo", etc. ne sont récompensées que lorsqu'elles affectent l'ensemble de notre service ou peuvent générer des fuites de données sensibles.

Vous aurez besoin d'un identifiant PayPal car nous utilisons PayPal pour envoyer les récompenses.

Vous ne recevrez PAS de récompense pour la découverte des vulnérabilités suivantes:

  • Vous n'êtes pas le premier à signaler cette vulnérabilité;
  • Vulnérabilités dans les logiciels de l’utilisateur ou vulnérabilités nécessitant un accès complet aux logiciels, comptes / comptes, courriels, téléphones, etc.;
  • Vulnérabilités ou fuites dans les services tiers;
  • Vulnérabilités ou anciennes versions de logiciels / protocoles tiers, protection lacunaire ainsi qu’un écart par rapport aux meilleures pratiques qui ne crée pas de menace pour la sécurité;
  • Des vulnérabilités sans impact important sur la sécurité ni la possibilité d'exploitation;
  • Des vulnérabilités qui obligent l'utilisateur à effectuer des actions inhabituelles;
  • Divulgation d'informations publiques ou non sensibles;
  • Attaques homographes;
  • Des vulnérabilités nécessitant des dispositifs et des applications enracinés, jailbreakés ou modifiés.

Règles

  1. Veuillez patienter car les rapports sont examinés dans les deux semaines et nous avons parfois besoin de plus de temps pour résoudre le problème.
  2. Un rapport de bug doit inclure une description détaillée de la vulnérabilité découverte et les étapes à suivre pour la reproduire ou une preuve de concept opérationnelle. Si vous ne décrivez pas les détails de la vulnérabilité, l'examen du rapport peut prendre beaucoup de temps et / ou peut entraîner le rejet de votre rapport.
  3. Vous ne devez pas utiliser d'outils et de scanners automatisés pour rechercher des vulnérabilités, car ces rapports seront ignorés.
  4. Vous ne devez effectuer aucune attaque susceptible d’endommager nos services ou nos données, y compris les données client. Les attaques par DDoS, spam et force brute ne sont pas autorisées.
  5. Vous ne devez pas impliquer d’autres utilisateurs sans leur consentement explicite.
  6. Vous ne devez pas effectuer ou essayer de réaliser des attaques non techniques telles que l'ingénierie sociale, le phishing ou des attaques physiques contre nos employés, les utilisateurs ou l'infrastructure en général.
Accueil Filtre d'actions Filtre Forex Filtre Crypto Calendrier économique Shows Comment ça marche Caractéristiques du graphique Prix Règles de conduite Modérateurs Solutions site web & courtier Widgets Solutions de cartographie Bibliothèque de graphiques allégés Centre d'aide Parrainer un ami Demande de fonctionnalité Blog & News Twitter
Profil Paramètres du Profil Compte et Facturation Parrainer un ami Mes tickets au support Centre d'aide Idées Publiées Suiveurs Suivi Messages privés dialogue en ligne Se Déconnecter