Mulakan

Bug Bounty program

Found a vulnerability on our platform? Let us know.

About the program

Get rewarded for helping us improve our platform. Reports can cover security vulnerabilities in our services, infrastructure, and applications.

Laman Web

Masalah pada TradingView.com dan subdomain nya.

Aplikasi mudah alih

Isu pada platform iOS dan Android.

Penyelesaian pencartaan 

Ralat dalam alatan, widget atau API.

Aplikasi atas meja

Isu pepijat atau prestasi dalam aplikasi atas meja.

Reward levels

Your reward depends on the type of vulnerability reported and its overall security impact.

  • Remote code execution (RCE) or administrator access
  • High-impact injection vulnerabilities
  • Unrestricted access to local files or databases
  • Authentication bypass allowing modification of user data or access to private data
  • Subdomain takeover
  • Logical flaws causing financial impact e.g., obtaining a subscription for free
  • Cross-site scripting (XSS), excluding self-XSS
  • Cross-site request forgery (CSRF)
  • User reputation manipulation
  • Low-impact injection vulnerabilities
  • Bypassing user restrictions

Reward amounts can vary. The actual reward may change depending on the severity, genuineness, and exploitation possibilities of bugs, as well as the environment and other factors that affect security.

Kelemahan servis bantuan seperti Blog dan kelemahan persekitaran bukan pengeluaran seperti 'beta', 'pementasan', 'demo' dan lain-lain hanya akan diberikan ganjaran apabila ia mempengaruhi perkhidmatan kami secara keseluruhan atau boleh menyebabkan data sensitif pengguna mengalami kebocoran.

Peraturan

  1. Laporan pepijat hendaklah memasukkan huraian terperinci kerentanan yang ditemui dan langkah yang perlu diambil untuk mengeluarkannya semula atau pembuktian konsep yang berfungsi. Jika anda tidak menghuraikan perincian kerentanan tersebut maka ia boleh mengambil masa yang lama untuk menyemak semula laporan dan/atau boleh mengakibatkan penolakan laporan anda.
  2. Sila hanya hantarkan satu kerentanan untuk setiap laporan, kecuali jika anda perlu menyambungkan kerentanan-kerentanan untuk memberikan impak.
  3. Hanya orang yang pertama yang melaporkan kerentanan yang tidak diketahui akan diberikan ganjaran. Apabila ada beberapa yang sama, kami hanya akan memberikan ganjaran kepada laporan yang pertama jika kerentanan dapat dilaksanakan semula sepenuhnya.
  4. Anda tidak boleh menggunakan alatan automatik dan pengimbas untuk mencari kelemahan. Laporan tersebut tidak akan diterima.
  5. You should not perform any attack that could damage our services or data including client data. If it's discovered that DDoS, spam, and brute force attacks have occurred rewards will not be given.
  6. Anda tidak sepatutnya melibatkan pengguna lain tanpa kebenaran yang jelas daripada mereka. Mencipta idea peribadi, skrip dan kandungan lain semasa ujian anda.
  7. Anda tidak boleh melakukan atau cuba melakukan serangan bukan teknikal seperti kejuruteraan sosial (cth. phishing, vishing, smishing) atau serangan fizikal terhadap pekerja kami, pengguna atau infrastruktur secara umum.
  8. Sila berikan laporan terperinci dengan langkah-langkah yang boleh dilaksanakan semula. Jika laporan tidak cukup terperinci untuk melaksanakan semula isu, isu itu tidak layak untuk mendapat ganjaran.
  9. Pelbagai kerentanan terjadi disebabkan satu isu dalaman akan diberikan satu ganjaran.
  10. Sila lakukan yang terbaik untuk mengelakkan pelanggaran kerahsiaan, kerosakan data, dan gangguan atau penurunan kepada servis kami.

Kerentanan di luar skop

The following issues are considered out of scope.

  • Vulnerabilities in users' software or vulnerabilities that require full access to user's software, account/s, email, phone etc
  • Vulnerabilities or leaks in third-party services
  • Vulnerabilities or old versions of third party software/protocols, missed protection as well as a deviation from best practices that don't create a security threat
  • Vulnerabilities with no substantial security impact or exploitation possibility
  • Vulnerabilities that require the user to perform unusual actions
  • Disclosure of public or non-sensitive information
  • Homograph attacks
  • Vulnerabilities that require rooted, jailbroken or modified devices and applications
  • Any activity that could lead to the disruption of our service

There are several examples of such vulnerabilities that are not rewarded.

  • EXIF geolocation data not stripped
  • Clickjacking on pages with no sensitive actions
  • Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions, logout CSRF
  • Weak ciphers or TLS configuration without a working Proof of Concept
  • Content spoofing or injection issues without showing an attack vector
  • Rate limiting or brute force issues on non-authentication endpoints
  • Missing HttpOnly or Secure flags on cookies
  • Software version disclosure. Banner identification issues. Descriptive error messages or headers (e.g. stack traces, application or server errors)
  • Public zero-day vulnerabilities that have had an official patch for less than 1 month will be awarded on a case by case basis
  • Tabnabbing
  • User existence. User, email or phone number enumeration
  • Lack of password complexity restrictions