Program Ganjaran Pepijat
TradingView
Jika anda ingin memberitahu kami tentang kerentanan, sila serahkan laporan melalui HackerOne.
Skop kepada program
Kami menawarkan ganjaran untuk laporan yang dapat memberikan maklumat mengenai kelemahan keselamatan dalam perkhidmatan, infrastruktur dan aplikasi kami seperti:
TradingView.com dan sub-domain
Aplikasi asli iOS
Aplikasi asli Android
Penyelesaian pencartaan
Aplikasi atas meja
Ganjaran
Ganjaran anda akan bergantung kepada kelemahan yang dijumpai dan juga impaknya terhadap keselamatan. Lihat perincian di bawah.
Tinggi
Untuk kelemahan yang memberi kesan kepada seluruh platform kami
- Remote code execution (RCE)
- Mendapatkan akses admin
- Suntikan dengan impak ketara
- Akses tanpa batasan ke dalam fail tempatan atau pangkalan data.
- Server-side request forgery (SSRF)
- Pendedahan maklumat kritikal
Medium
Untuk kelemahan yang tidak memerlukan interaksi pengguna dan memberi kesan kepada banyak pengguna
- Stored Cross - Site Scripting (XSS) dengan impak ketara
- Pintasan tulen yang membenarkan perubahan data pengguna untuk mengakses data peribadi
- Insecure Direct Object References (IDOR)
- Pengambilan semula subdomain
Rendah
Utuk kelemahan yang memerlukan interaksi pengguna atau memberi kesan kepada pengguna individu
- Cross-Site Scripting (XSS), kecuali self-XSS
- Cross-Site Request Forgery (CSRF)
- Penghalaan semula URL
- Manipulasi reputasi pengguna
Perhatian bahawa jumlah ganjaran boleh jadi berbeza. Ganjaran sebenar mungkin berbeza-beza bergantung pada tahap kesulitan, keaslian dan kemungkinan eksploitasi pepijat serta persekitaran dan faktor lain yang boleh mempengaruhi keselamatan.
Kelemahan servis bantuan seperti Blog dan kelemahan persekitaran bukan pengeluaran seperti 'beta', 'pementasan', 'demo' dan lain-lain hanya akan diberikan ganjaran apabila ia mempengaruhi perkhidmatan kami secara keseluruhan atau boleh menyebabkan data sensitif pengguna mengalami kebocoran.
Peraturan
- Laporan pepijat hendaklah memasukkan huraian terperinci kerentanan yang ditemui dan langkah yang perlu diambil untuk mengeluarkannya semula atau pembuktian konsep yang berfungsi. Jika anda tidak menghuraikan perincian kerentanan tersebut maka ia boleh mengambil masa yang lama untuk menyemak semula laporan dan/atau boleh mengakibatkan penolakan laporan anda.
- Sila hanya hantarkan satu kerentanan untuk setiap laporan, kecuali jika anda perlu menyambungkan kerentanan-kerentanan untuk memberikan impak.
- Hanya orang yang pertama yang melaporkan kerentanan yang tidak diketahui akan diberikan ganjaran. Apabila ada beberapa yang sama, kami hanya akan memberikan ganjaran kepada laporan yang pertama jika kerentanan dapat dilaksanakan semula sepenuhnya.
- Anda tidak boleh menggunakan alatan automatik dan pengimbas untuk mencari kelemahan. Laporan tersebut tidak akan diterima.
- Anda mestilah tidak melakukan sebarang serangan yang boleh merosakkan perkhidmatan atau data termasuk data pelanggan. DDoS, spam, serangan bermotifkan kekerasan adalah tidak dibenarkan.
- Anda tidak sepatutnya melibatkan pengguna lain tanpa kebenaran yang jelas daripada mereka. Mencipta idea peribadi, skrip dan kandungan lain semasa ujian anda.
- Anda tidak boleh melakukan atau cuba melakukan serangan bukan teknikal seperti kejuruteraan sosial (cth. phishing, vishing, smishing) atau serangan fizikal terhadap pekerja kami, pengguna atau infrastruktur secara umum.
- Sila berikan laporan terperinci dengan langkah-langkah yang boleh dilaksanakan semula. Jika laporan tidak cukup terperinci untuk melaksanakan semula isu, isu itu tidak layak untuk mendapat ganjaran.
- Pelbagai kerentanan terjadi disebabkan satu isu dalaman akan diberikan satu ganjaran.
- Sila lakukan yang terbaik untuk mengelakkan pelanggaran kerahsiaan, kerosakan data, dan gangguan atau penurunan kepada servis kami.
Kerentanan di luar skop
Isu-isu ini dikira berada di luar skop:
- Kerentanan di dalam perisian milik pengguna atau kerentanan yang memerlukan akses penuh terhadap perisian pengguna, akaun, e-mel, telefon dll.
- Kerentanan atau kebocoran di dalam perkhidmatan pihak ketiga.
- Kerentanan atau versi lama perisian/protokol pihak ketiga, terlepas perlindungan dan juga pelencongan daripada amalan terbaik yang tidak menghasilkan ancaman keselamatan;
- Kerentanan yang tiada impak keselamatan yang mendalam atau kemungkinan ekploitasi.
- Kerentanan yang memerlukan pengguna untuk melaksanakan tindakan di luar jangka.
- Penyebaran maklumat awam atau yang tidak-sensitif.
- Serangan homograf.
- Kerentanan yang memerlukan peranti yang diakar, jailbrake atau peranti dan aplikasi yang diubah.
- Apa-apa aktiviti yang boleh membawa kepada gangguan servis kami.
Berikut ialah beberapa contoh untuk kerentanan yang tidak diberikan ganjaran:
- Data geolokasi EXIF tidak dibuang.
- Clickjacking pada halaman dengan tiada tindakan sensitif.
- Cross-Site Request Forgery (CSRF) pada borang yang tak disahkan atau borang dengan tiada tindakan sensitif, log keluar CSRF.
- Sifer lemah atau konfigurasi TLS tanpa satu Bukti Konsep yang berfungsi.
- Isu spoofing kandungan atau penyuntikan tanpa menunjukkan satu vektor serangan.
- Isu penghad kadar atau daya kasar pada titik akhir bukan pengesahan.
- Kehilangan HttpOnly atau bendera Keselamatan pada kuki.
- Pendedahan versi perisian. Isu pengenalan sepanduk. Mesej ralat deksriptif atau tajuk (cth. kesan tindanan, aplikasi atau ralat pelayan).
- Kerentanan hari kosong umum yang mempunyai tampung rasmi pada masa kurang daripada 1 bulan akan dinugerahkan pada keadaan kes demi kes.
- Tabnabbing
- Kewujudan pengguna. Penghitungan pengguna, e-mel atau nombor telefon.
- Kekangan kesulitan disebabkan kekurangan kata laluan.
Pemburu ganjaran
Kami ingin mengucapkan ribuan terima kasih terhadap sumbangan para penyelidik yang tersenarai di bawah.
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh