برنامج مكافآت TradingView‎

‎لاكتشاف الثغرات

إذا كنت تريد إخبارنا بوجود ثغرة أمنية، فيرجى إرسال تقرير عبر HackerOne.

نطاق البرنامج

نقدم مكافآت عن التقارير التي ترصد الثغرات الأمنية في خدماتنا وبنية نظامنا الأساسية وتطبيقات الويب والأجهزة المحمولة على غرار:

TradingView.com ونطاقاته الفرعية

تطبيق iOS الأصلي

تطبيق أندرويد الأصلي

تطبيق الحاسوب

المكافآت

تعتمد قيمة مكافأتك على الثغرة الأمنية المكتشفة ومدى تأثيرها على أمن الموقع. شاهد التفاصيل أسفله.

مرتفعة

للثغرات الأمنية التي تؤثر على منصتنا بأكملها

  • تنفيذ التعليمات البرمجية عن بُعد (RCE)
  • الحصول على صلاحيات مدير
  • الحقن البرمجي ذي التأثير الكبير
  • الوصول غير المقيد إلى الملفات أو قواعد البيانات الداخلية
  • تزوير طلبات الخادم (SSRF)
  • الكشف عن المعلومات الهامة

متوسطة

الثغرات الأمنية التي لا تتطلب تفاعل المستخدم وتؤثر على العديد من المستخدمين

  • البرمجة عبر المواقع المخزنة (XSS) ذات التأثير الكبير
  • تجاوز مصادقة يسمح بتغيير بيانات المستخدم أو الوصول إلى بيانات خاصة
  • مراجع الكائنات غير الآمنة (IDOR)
  • الاستيلاء على نطاق فرعي

منخفضة

الثغرات الأمنية التي تتطلب تفاعل المستخدم أو تؤثر على المستخدمين الأفراد

  • البرمجة عبر المواقع (XSS)، مع استثناء Self-XSS
  • تزوير الطلبات عبر المواقع (CSRF)
  • إعادة توجيه رابط URL
  • التلاعب بسمعة المستخدم

لاحظ أن مبالغ المكافآت يمكن أن يكون مختلفاً. قد تختلف المكافأة الفعلية اعتمادًا على مدى تأثير وصحة وإمكانية استغلال الثغرات بالإضافة إلى البيئة والعوامل الأخرى التي قد تؤثر على أمان الموقع.

يتم منح المكافآت عند العثور على الثغرات الأمنية في الخدمات الملحقة مثل Wiki والمدونة، وغيرها، والثغرات الأمنية في البيئات غير المنتجة مثل إصدارات "beta" و"staging" و"demo" وغيرها، عندما تكون مؤثرة على خدماتنا ككل أو قد تسبب تسرب بيانات المستخدمين الحساسة.

قوانين

  1. يجب أن يتضمن تقرير إبلاغ الأخطاء على وصفًا تفصيليًا للثغرة الأمنية التي تم اكتشافها والخطوات التي يجب اتخاذها لمعالجتها. إذا لم تشرح تفاصيل الخطأ أو الثغرات الأمنية، فقد يستغرق الأمر وقتاً طويلاً لمراجعة التقرير و/أو قد يؤدي إلى رفض بلاغك.
  2. الرجاء إرسال ثغرة أمنية واحدة فقط لكل تقرير، إلا إذا كنت بحاجة إلى سلسلة من الثغرات لتوفير التأثير.
  3. سيتم فقط مكافأة أول شخص يبلغ عن ثغرة أمنية غير معروفة. عند حدوث تكرار، سنمنح التقرير الأول فقط إذا كان من الممكن إعادة إنتاج الثغرة الأمنية بالكامل.
  4. يجب عدم استخدام الأدوات الآلية والماسحات للعثور على الثغرات الأمنية حيث سيتم تجاهل هذه التقارير.
  5. يجب ألا تقوم بأي عمليات هجومية من شأنها الإضرار بخدماتنا أو بياناتنا أو عملائنا. لا يُسمح باستخدام DDoS أو البريد العشوائي أو هجمات brute force.
  6. يجب عدم إشراك مستخدمين آخرين دون موافقتهم الصريحة.
  7. يجب عدم تنفيذ أو محاولة تنفيذ هجمات غير تقنية مثل الهندسة الاجتماعية أو التصيد الاحتيالي أو الهجمات البدنية ضد موظفينا أو مستخدمي موقعنا أو بنيتنا الأساسية.
  8. يرجى تقديم تقارير مفصلة بخطوات قابلة للتكرار. إذا لم يكن التقرير مفصلاً بما يكفي لإعادة إنتاج المشكلة، فلن تكون المشكلة مؤهلة للحصول على مكافأة.
  9. سيتم منح نقاط الضعف المتعددة الناتجة عن مشكلة أساسية واحدة مكافأة واحدة.
  10. يرجى بذل جهد بحسن النية لتجنب انتهاكات الخصوصية وتدمير البيانات وانقطاع أو تدهور خدمتنا.

نقاط الضعف خارج النطاق

تعتبر القضايا التالية خارج النطاق:

  • الثغرات الأمنية في برنامج المستخدم أو أن الثغرات الأمنية تتطلب الوصول الكامل إلى برنامج المستخدم أو حساباته أو بريده الإلكتروني أو هاتفه...
  • ثغرات أو تسريبات في خدمات طرف آخر.
  • الثغرات الأمنية أو الإصدارات القديمة من برامج وبروتوكولات طرف آخر، أو إهمال الحماية، بالإضافة إلى عدم الامتثال للممارسات التي لا تشكل تهديدا على النظام الأمني.
  • الثغرات الأمنية بدون تأثير أمني كبير أو إمكانية الاستغلال.
  • الثغرات التي تتطلب من المستخدم أن يقوم بعمل غير اعتيادي.
  • الكشف عن المعلومات العامة أو غير الحساسة.
  • هجمات "Homograph".
  • الثغرات الأمنية التي تتطلب تعديل صلاحية الروت للأجهزة والتطبيقات، أو كسر حمايتها أو إجراء تعديلات عليها.
  • أي نشاط قد يؤدي إلى تعطيل خدمتنا.

هناك العديد من الأمثلة على نقاط الضعف هذه التي لا يتم مكافأتها:

  • لم يتم تجريد بيانات تحديد الموقع الجغرافي EXIF.
  • النقر فوق الصفحات التي لا تحتوي على إجراءات حساسة.
  • تزوير طلب عبر الموقع (CSRF) على نماذج أو نماذج غير مصدق عليها بدون إجراءات حساسة، قم بتسجيل الخروج CSRF.
  • أصفار ضعيفة أو تكوين TLS بدون إثبات مفهوم عملي.
  • مشاكل في نسخ المحتوى أو حقنه بدون إظهار ناقل للهجوم.
  • تحديد معدل أو مشاكل القوة القاهرة "brute force" على نقاط نهاية عدم المصادقة.
  • علامات HttpOnly أو Secure مفقودة في ملفات تعريف الارتباط.
  • الكشف عن إصدار البرنامج. مشاكل تحديد اللافتة. رؤوس أو رسائل خطأ وصفية (على سبيل المثال، آثار الكومة، أخطاء التطبيق أو الخادم).
  • سيتم منح ثغرات "يوم الصفر" العامة التي كان لها تصحيح رسمي لمدة تقل عن شهر واحد على أساس كل حالة على حدة.
  • Tabnabbing
  • وجود المستخدم. تعداد المستخدم أو البريد الإلكتروني أو رقم الهاتف.
  • عدم وجود قيود تعقيد كلمة المرور.

صيّادو المكافآت

نحن نشكُر الباحثين المذكورين أدناه على مساهماتهم القيّمة.

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague