Programme TradingView de prime pour la découverte de bugs

Si vous avez trouvé un bug de sécurité et souhaitez nous le signaler, veuillez nous envoyer un courrier électronique à

L'étendue du programme

Nous offrons des récompenses pour les rapports sur la vulnérabilité de la sécurité de nos services, de notre infrastructure, de nos applications Web et mobiles.

Votre recherche peut couvrir:

Tradingview.com et ses sous-domaines
App iOS native
App Android native
Bibliothèque de graphiques et terminal de trading

Récompenses

Votre récompense dépendra de la vulnérabilité découverte ainsi que de son impact sur la sécurité. Voir les détails ci-dessous.
jusqu'à$1500
La vulnérabilité affecte l'ensemble de notre service
  • Exécution de code à distance (RCE)
  • Obtenir un accès administrateur
  • Injections à impact significatif
  • Accès illimité aux fichiers locaux ou aux bases de données
  • Falsification de requête côté serveur (SSRF)
  • Divulgation d'informations critiques
jusqu'à$700
La vulnérabilité ne nécessite aucune interaction de l'utilisateur et affecte de nombreux utilisateurs.
  • XSS (Stored Cross-Site Scripting) ayant un impact significatif
  • Un contournement d'authentification qui permet de changer les données de l'utilisateur ou d'accéder aux données privées
  • Références directes non sécurisées à un objet (IDOR)
jusqu'à$300
La vulnérabilité nécessite une interaction de l'utilisateur ou affecte des utilisateurs individuels.
  • Scripting intersite (XSS), sauf l'auto-XSS
  • Falsification de requête intersite (CSRF)
  • Redirection d'URL
  • Manipulation de la réputation de l'utilisateur
Notez que les montants des récompenses peuvent être différents. La récompense réelle peut varier en fonction de la gravité, de l’authenticité et des possibilités d’exploitation des bugs, ainsi que de l’environnement et d’autres facteurs ayant une incidence sur la sécurité.

Les vulnérabilités de services auxiliaires tels que Wiki, Blog, etc., ainsi que les vulnérabilités d'environnements non productifs, tels que les versions "bêta", "mise en scène", "démo", etc. ne sont récompensées que lorsqu'elles affectent l'ensemble de notre service ou peuvent générer des fuites de données sensibles.

Vous aurez besoin d'un identifiant PayPal car nous utilisons PayPal pour envoyer les récompenses.

Vous ne recevrez PAS de récompense pour la découverte des vulnérabilités suivantes:

  • Vous n'êtes pas le premier à signaler cette vulnérabilité;
  • Vulnérabilités dans les logiciels de l’utilisateur ou vulnérabilités nécessitant un accès complet aux logiciels, comptes / comptes, courriels, téléphones, etc.;
  • Vulnérabilités ou fuites dans les services tiers;
  • Vulnérabilités ou anciennes versions de logiciels / protocoles tiers, protection lacunaire ainsi qu’un écart par rapport aux meilleures pratiques qui ne crée pas de menace pour la sécurité;
  • Des vulnérabilités sans impact important sur la sécurité ni la possibilité d'exploitation;
  • Des vulnérabilités qui obligent l'utilisateur à effectuer des actions inhabituelles;
  • Divulgation d'informations publiques ou non sensibles;
  • Attaques homographes;
  • Des vulnérabilités nécessitant des dispositifs et des applications enracinés, jailbreakés ou modifiés.

Règles

  1. Vous ne devriez pas divulguer un bug avant de recevoir une approbation de notre part. Veuillez patienter, car les rapports sont examinés sous deux semaines et nous avons besoin de temps pour résoudre le problème.
  2. Un rapport de bug doit inclure une description détaillée de la vulnérabilité découverte et les étapes à suivre pour la reproduire ou une preuve de concept opérationnelle. Si vous ne décrivez pas les détails de la vulnérabilité, l'examen du rapport peut prendre beaucoup de temps et / ou peut entraîner le rejet de votre rapport.
  3. Vous ne devez pas utiliser d'outils et de scanners automatisés pour rechercher les vulnérabilités, car ces rapports ne seront pas examinés.
  4. Vous ne devez effectuer aucune attaque susceptible d’endommager nos services ou nos données, y compris les données client. Les attaques par DDoS, spam et force brute ne sont pas autorisées.
  5. Vous ne devez pas impliquer d’autres utilisateurs sans leur consentement explicite.
  6. Vous ne devez pas effectuer ou essayer de réaliser des attaques non techniques telles que l'ingénierie sociale, le phishing ou des attaques physiques contre nos employés, les utilisateurs ou l'infrastructure.
Accueil Filtre d'actions Filtre Forex Filtre Crypto Calendrier économique Comment ça marche Caractéristiques du graphique Prix Règles de conduite Modérateurs Solutions site web & courtier Widgets Solutions de cartographie Centre d'aide Demande de fonctionnalité Blog & News Questions Fréquentes Wiki Twitter
Profil Paramètres du Profil Compte et Facturation TradingView Coins Mes tickets au support Centre d'aide Idées Publiées Suiveurs Suivi Messages privés dialogue en ligne Se Déconnecter