TradingView
תוכנית באג באונטי
אם ברצונך ליידע אותנו על פגיעות, אנא שלח דוח באמצעות HackerOne.
היקף התוכנית
אנו מציעים תגמולים עבור דוחות המכסים פגיעויות אבטחה בשירותים, בתשתיות, באינטרנט וביישומים ניידים שלנו, כגון:
TradingView.com וכן תת-דומיינים
אפליקציית iOS מקומית
אפליקציית אנדרואיד מקומית
פתרונות גרפים
Desktop App
תגמולים
התגמול שלך יהיה תלוי בפגיעות שהתגלתה ובהשפעת האבטחה שלה. ראו פרטים בהמשך.
גבוה
עבור פגיעות שמשפיעה על כל הפלטפורמה שלנו
- ביצוע קוד מרחוק (RCE)
- קבלת גישה למנהל
- פריצת אבטחה עם השפעה משמעותית
- גישה בלתי מוגבלת לקבצים או מסדי נתונים מקומיים
- זיוף בקשה משרת צדדי (SSRF)
- גילוי מידע קריטי
בינוני
עבור פגיעות שאינה מצריכה אינטראקציה עם משתמשים ומשפיעה על משתמשים רבים
- אחסן סקריפטים חוצה אתרים (XSS) עם השפעה משמעותית
- עקיפת אימות המאפשרת שינוי נתוני משתמש או גישה לנתונים פרטיים
- הפניות אובייקטים ישירים לא מאובטחים (IDOR)
- השתלטות על תת דומיין
נמוך
עבור פגיעות הדורשת אינטראקציה בין משתמשים או משפיעה על משתמשים בודדים
- סקריפטים חוצי אתרים (XSS), למעט XSS עצמי
- זיוף בקשה חוצה-אתרים (CSRF)
- ניתוב מחדש של כתובת אתר
- מניפולציית מוניטין של משתמשים
שים לב שסכומי התגמול יכולים להיות שונים. תגמול בפועל עשוי להשתנות בהתאם לחומרתם, אמיתותם ואפשרויות ניצול לרעה של באגים כמו גם הסביבה וגורמים אחרים המשפיעים על האבטחה.
פגיעויות של שירותי עזר כמו בלוג וכו' ופגיעויות של סביבות שאינן יצרניים כגון 'בטא' 'דמו' וכו' מתוגמלים רק כאשר הם משפיעים על השירות שלנו בכללותו או עלולים לגרום לנתוני משתמשים רגישים דליפה
חוקים
- דיווח על באג צריך לכלול תיאור מפורט של פריצת האבטחה שהתגלתה והצעדים שיש לנקוט על מנת לשחזר אותה, או הוכחת היתכנות פעילה. אם אינך מתאר את פרטי הפריצה, ייתכן שהדבר יגרום לעיקוב בעיון בדוח ו / או אף לדחיית הדוח שלך.
- אנא שלח רק פגיעות אחת לכל דוח, אלא אם אתה צריך לשרשר נקודות תורפה כדי לספק השפעה.
- רק האדם הראשון שידווח על פגיעות לא ידועה יתוגמל. כאשר מתרחשות כפילויות, אנו נעניק את הדוח הראשון רק אם ניתן לשחזר את הפגיעות במלואה.
- אסור להשתמש בכלים וסורקים אוטומטיים כדי למצוא פגיעויות שכן דוחות כאלה לא יטופלו.
- אתה לא רשאי לבצע כל התקפה שעלולה להזיק לשירותים שלנו, לנתונים שלנו או ללקוח. DDoS, דואר זבל, התקפות Brute-force אינם מותרים.
- אין לערב משתמשים אחרים ללא הסכמתם המפורשת.
- אסור לבצע או לנסות לבצע התקפות לא-טכניות כמו הנדסה חברתית, פישינג או התקפות פיזיות על עובדינו, המשתמשים או התשתיות בכלל.
- אנא ספק דוחות מפורטים עם שלבים שניתנים לשחזור. אם הדוח אינו מפורט מספיק כדי לשחזר את הבעיה, הנושא לא יהיה זכאי לתגמול.
- נקודות תורפה מרובות הנגרמות כתוצאה מבעיה אחת יזכו בתגמול אחד.
- אנא עשה מאמץ בתום לב כדי להימנע מהפרות פרטיות, הרס נתונים והפרעה או השפלה של השירות שלנו.
פגיעות מחוץ לתחום
הנושאים הבאים נחשבים מחוץ לתחום:
- פגיעויות בתוכנת המשתמש או בפגיעויות הדורשות גישה מלאה לתוכנות המשתמש, חשבונות, דוא"ל, טלפון וכו'.
- פגיעויות או דליפות בשירותי צד ג';
- פגיעויות או גרסאות ישנות של תוכנות/פרוטוקולים של צד שלישי, הגנה שהוחמצה וכן סטייה משיטות העבודה המומלצות שאינן מהוות איום אבטחה;
- פגיעויות ללא כל השפעה או אפשרות ניצול לרעה מבחינה ביטחונית משמעותית;
- פגיעויות המחייבות את המשתמש לבצע פעולות חריגות;
- חשיפת מידע פומבי או לא רגיש;
- איומי הומוגרפיה Homograph attacks
- פגיעויות הדורשות התקנים ואפליקציות שהותאמו.
- כל פעילות שעלולה להוביל להפרעה בשירות שלנו.
ישנן מספר דוגמאות לפגיעויות כאלה שאינן מתוגמלות:
- נתוני מיקום גיאוגרפי של EXIF לא הוסרו.
- חטיפת קליקים בדפים ללא פעולות רגישות.
- זיוף בקשות חוצה אתרים (CSRF) על טפסים לא מאומתים או טפסים ללא פעולות רגישות, צא מ-CSRF.
- צפנים חלשים או תצורת TLS ללא הוכחת מושג פועלת.
- בעיות זיוף תוכן או הזרקות מבלי להציג וקטור התקפה.
- בעיות של הגבלת קצב או כוח גס בנקודות קצה שאינן אימות.
- חסרים דגלי HttpOnly או Secure בקובצי Cookie.
- גילוי גרסת תוכנה. בעיות בזיהוי באנר. הודעות שגיאה או כותרות תיאוריות (לדוגמה, עקבות מחסנית, שגיאות יישומים או שרתים).
- פגיעויות ציבוריות של יום אפס שיש להן תיקון רשמי במשך פחות מחודש יוענקו על בסיס כל מקרה לגופו.
- טאנבינג
- קיום משתמש. ספירת משתמש, אימייל או מספר טלפון.
- היעדר מגבלות מורכבות סיסמה.
ציידי באגים
אנו רוצים להודות בכנות לחוקרים המפורטים להלן על תרומתם.
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh