התחל

תוכנית Bug Bounty

מצאת פרצה בפלטפורמה שלנו? ספר לנו.

אודות התוכנית

קבל תגמולים על עזרתכם בשיפור הפלטפורמה שלנו. דוחות יכולים לכסות פגיעויות אבטחה בשירותים, בתשתיות ובאפליקציות שלנו.

אתר‏

בעיות ב-TradingView.com ובתת-הדומיינים שלו.

אפליקציות לטלפונים ניידים

בעיות בפלטפורמות iOS ואנדרואיד.

פתרונות גרפיים 

שגיאות בכלים, ווידג'טים או ממשקי API.

Desktop App

באגים או בעיות ביצועים באפליקציית שולחן העבודה.

רמות תגמול

התגמול שלך תלוי בסוג הפגיעות המדווחת ובהשפעתה הכוללת על האבטחה.

  • ביצוע קוד מרחוק (RCE) או גישת מנהל מערכת
  • פגיעויות הזרקה בעלות השפעה גבוהה
  • גישה בלתי מוגבלת לקבצים או מסדי נתונים מקומיים
  • עקיפת אימות המאפשרת שינוי של נתוני משתמש או גישה לנתונים פרטיים
  • השתלטות על תת דומיין
  • פגמים לוגיים הגורמים להשפעה כלכלית, למשל, קבלת מנוי בחינם
  • סקריפטים בין אתרים (XSS), לא כולל XSS עצמי
  • זיוף בקשה חוצה-אתרים (CSRF)
  • מניפולציית מוניטין של משתמשים
  • פגיעויות הזרקה בעלות השפעה נמוכה
  • עקיפת הגבלות משתמשים

סכומי התגמול יכולים להשתנות. התגמול בפועל עשוי להשתנות בהתאם לחומרה, לאמינות ולפוטנציאל הניצול של הבאגים, וכן בהתאם לסביבה ולגורמים נוספים המשפיעים על האבטחה.

פגיעויות של שירותי עזר כמו בלוג וכו' ופגיעויות של סביבות שאינן יצרניים כגון 'בטא' 'דמו' וכו' מתוגמלים רק כאשר הם משפיעים על השירות שלנו בכללותו או עלולים לגרום לנתוני משתמשים רגישים דליפה

חוקים

  1. דיווח על באג צריך לכלול תיאור מפורט של פריצת האבטחה שהתגלתה והצעדים שיש לנקוט על מנת לשחזר אותה, או הוכחת היתכנות פעילה. אם אינך מתאר את פרטי הפריצה, ייתכן שהדבר יגרום לעיקוב בעיון בדוח ו / או אף לדחיית הדוח שלך.
  2. אנא שלח רק פגיעות אחת לכל דוח, אלא אם אתה צריך לשרשר נקודות תורפה כדי לספק השפעה.
  3. רק האדם הראשון שידווח על פגיעות לא ידועה יתוגמל. כאשר מתרחשות כפילויות, אנו נעניק את הדוח הראשון רק אם ניתן לשחזר את הפגיעות במלואה.
  4. אסור להשתמש בכלים וסורקים אוטומטיים כדי למצוא פגיעויות שכן דוחות כאלה לא יטופלו.
  5. אסור לבצע כל התקפה שעלולה לפגוע בשירותים או בנתונים שלנו, כולל נתוני לקוחות. אם יתגלה כי התרחשו התקפות DDoS, ספאם וכוח גס, לא יינתנו תגמולים.
  6. אין לערב משתמשים אחרים ללא הסכמתם המפורשת.
  7. אסור לבצע או לנסות לבצע התקפות לא-טכניות כמו הנדסה חברתית, פישינג או התקפות פיזיות על עובדינו, המשתמשים או התשתיות בכלל.
  8. אנא ספק דוחות מפורטים עם שלבים שניתנים לשחזור. אם הדוח אינו מפורט מספיק כדי לשחזר את הבעיה, הנושא לא יהיה זכאי לתגמול.
  9. נקודות תורפה מרובות הנגרמות כתוצאה מבעיה אחת יזכו בתגמול אחד.
  10. אנא עשה מאמץ בתום לב כדי להימנע מהפרות פרטיות, הרס נתונים והפרעה או השפלה של השירות שלנו.

פגיעות מחוץ לתחום

הנושאים הבאים נחשבים מחוץ לתחום.

  • פגיעויות בתוכנה של משתמשים או פגיעויות הדורשות גישה מלאה לתוכנה, לחשבון/ות, לדוא"ל, לטלפון וכו' של המשתמש.
  • פגיעויות או דליפות בשירותי צד שלישי
  • פגיעויות או גרסאות ישנות של תוכנות/פרוטוקולים של צד שלישי, היעדר מנגנוני הגנה, וכן חריגה משיטות עבודה מומלצות – כל עוד אינם יוצרים איום אבטחתי.
  • פגיעויות ללא השפעה משמעותית על האבטחה או אפשרות לניצול
  • פגיעויות הדורשות מהמשתמש לבצע פעולות חריגות
  • גילוי מידע ציבורי או מידע שאינו רגיש
  • התקפות הומוגרפיות
  • פגיעויות הדורשות מכשירים ואפליקציות שעברו רוט, פרוצים או שינויים
  • כל פעילות שעלולה להוביל לשיבוש השירות שלנו

ישנן מספר דוגמאות לפגיעויות כאלה שאינן מתוגמלות.

  • נתוני מיקום גיאוגרפי של EXIF ​​לא נמחקו
  • קליקג'קינג בעמודים ללא פעולות רגישות
  • זיוף בקשות חוצות אתרים (CSRF) בטפסים לא מאומתים או טפסים ללא פעולות רגישות, יציאה מ-CSRF
  • צפנים חלשים או תצורת TLS ללא הוכחת היתכנות עובדת
  • בעיות זיוף או הזרקת תוכן ללא הצגת וקטור תקיפה
  • היעדר הגבלת קצב או בעיות מתקפות ניחוש סיסמה בנקודות קצה שאינן מיועדות לאימות
  • חסרים דגלי HttpOnly או Secure בעוגיות
  • גילוי גרסת תוכנה. בעיות זיהוי באנרים. הודעות שגיאה תיאוריות או כותרות (למשל, עקבות מחסנית, שגיאות יישום או שרת)
  • פגיעויות ציבוריות מסוג אפס-יום אשר להן תיקון רשמי במשך פחות מחודש יוענקו על בסיס כל מקרה לגופו.
  • טאבנאבדינג
  • קיום משתמש. ספירת משתמש, דוא"ל או מספר טלפון
  • היעדר מגבלות על מורכבות סיסמאות