برنامج مكافآت TradingView
لاكتشاف الثغرات
إذا كنت تريد إخبارنا بوجود ثغرة أمنية، فيرجى إرسال تقرير عبر HackerOne.
نطاق البرنامج
نقدم مكافآت عن التقارير التي ترصد الثغرات الأمنية في خدماتنا وبنية نظامنا الأساسية وتطبيقات الويب والأجهزة المحمولة على غرار:
TradingView.com ونطاقاته الفرعية
تطبيق iOS الأصلي
تطبيق أندرويد الأصلي
حلول الرسوم البيانية
تطبيق الحاسوب
المكافآت
تعتمد قيمة مكافأتك على الثغرة الأمنية المكتشفة ومدى تأثيرها على أمن الموقع. شاهد التفاصيل أسفله.
مرتفعة
للثغرات الأمنية التي تؤثر على منصتنا بأكملها
- تنفيذ التعليمات البرمجية عن بُعد (RCE)
- الحصول على صلاحيات مدير
- الحقن البرمجي ذي التأثير الكبير
- الوصول غير المقيد إلى الملفات أو قواعد البيانات الداخلية
- تزوير طلبات الخادم (SSRF)
- الكشف عن المعلومات الهامة
متوسطة
الثغرات الأمنية التي لا تتطلب تفاعل المستخدم وتؤثر على العديد من المستخدمين
- البرمجة عبر المواقع المخزنة (XSS) ذات التأثير الكبير
- تجاوز مصادقة يسمح بتغيير بيانات المستخدم أو الوصول إلى بيانات خاصة
- مراجع الكائنات غير الآمنة (IDOR)
- الاستيلاء على نطاق فرعي
منخفضة
الثغرات الأمنية التي تتطلب تفاعل المستخدم أو تؤثر على المستخدمين الأفراد
- البرمجة عبر المواقع (XSS)، مع استثناء Self-XSS
- تزوير الطلبات عبر المواقع (CSRF)
- إعادة توجيه رابط URL
- التلاعب بسمعة المستخدم
لاحظ أن مبالغ المكافآت يمكن أن يكون مختلفاً. قد تختلف المكافأة الفعلية اعتمادًا على مدى تأثير وصحة وإمكانية استغلال الثغرات بالإضافة إلى البيئة والعوامل الأخرى التي قد تؤثر على أمان الموقع.
يتم منح المكافآت عند العثور على الثغرات الأمنية في الخدمات الملحقة مثل Wiki والمدونة، وغيرها، والثغرات الأمنية في البيئات غير المنتجة مثل إصدارات "beta" و"staging" و"demo" وغيرها، عندما تكون مؤثرة على خدماتنا ككل أو قد تسبب تسرب بيانات المستخدمين الحساسة.
قوانين
- يجب أن يتضمن تقرير إبلاغ الأخطاء على وصفًا تفصيليًا للثغرة الأمنية التي تم اكتشافها والخطوات التي يجب اتخاذها لمعالجتها. إذا لم تشرح تفاصيل الخطأ أو الثغرات الأمنية، فقد يستغرق الأمر وقتاً طويلاً لمراجعة التقرير و/أو قد يؤدي إلى رفض بلاغك.
- الرجاء إرسال ثغرة أمنية واحدة فقط لكل تقرير، إلا إذا كنت بحاجة إلى سلسلة من الثغرات لتوفير التأثير.
- سيتم فقط مكافأة أول شخص يبلغ عن ثغرة أمنية غير معروفة. عند حدوث تكرار، سنمنح التقرير الأول فقط إذا كان من الممكن إعادة إنتاج الثغرة الأمنية بالكامل.
- يجب عدم استخدام الأدوات الآلية والماسحات للعثور على الثغرات الأمنية حيث سيتم تجاهل هذه التقارير.
- يجب ألا تقوم بأي عمليات هجومية من شأنها الإضرار بخدماتنا أو بياناتنا أو عملائنا. لا يُسمح باستخدام DDoS أو البريد العشوائي أو هجمات brute force.
- يجب عدم إشراك مستخدمين آخرين دون موافقتهم الصريحة.
- يجب عدم تنفيذ أو محاولة تنفيذ هجمات غير تقنية مثل الهندسة الاجتماعية أو التصيد الاحتيالي أو الهجمات البدنية ضد موظفينا أو مستخدمي موقعنا أو بنيتنا الأساسية.
- يرجى تقديم تقارير مفصلة بخطوات قابلة للتكرار. إذا لم يكن التقرير مفصلاً بما يكفي لإعادة إنتاج المشكلة، فلن تكون المشكلة مؤهلة للحصول على مكافأة.
- سيتم منح نقاط الضعف المتعددة الناتجة عن مشكلة أساسية واحدة مكافأة واحدة.
- يرجى بذل جهد بحسن النية لتجنب انتهاكات الخصوصية وتدمير البيانات وانقطاع أو تدهور خدمتنا.
نقاط الضعف خارج النطاق
تعتبر القضايا التالية خارج النطاق:
- الثغرات الأمنية في برنامج المستخدم أو أن الثغرات الأمنية تتطلب الوصول الكامل إلى برنامج المستخدم أو حساباته أو بريده الإلكتروني أو هاتفه...
- ثغرات أو تسريبات في خدمات طرف آخر.
- الثغرات الأمنية أو الإصدارات القديمة من برامج وبروتوكولات طرف آخر، أو إهمال الحماية، بالإضافة إلى عدم الامتثال للممارسات التي لا تشكل تهديدا على النظام الأمني.
- الثغرات الأمنية بدون تأثير أمني كبير أو إمكانية الاستغلال.
- الثغرات التي تتطلب من المستخدم أن يقوم بعمل غير اعتيادي.
- الكشف عن المعلومات العامة أو غير الحساسة.
- هجمات "Homograph".
- الثغرات الأمنية التي تتطلب تعديل صلاحية الروت للأجهزة والتطبيقات، أو كسر حمايتها أو إجراء تعديلات عليها.
- أي نشاط قد يؤدي إلى تعطيل خدمتنا.
هناك العديد من الأمثلة على نقاط الضعف هذه التي لا يتم مكافأتها:
- لم يتم تجريد بيانات تحديد الموقع الجغرافي EXIF.
- النقر فوق الصفحات التي لا تحتوي على إجراءات حساسة.
- تزوير طلب عبر الموقع (CSRF) على نماذج أو نماذج غير مصدق عليها بدون إجراءات حساسة، قم بتسجيل الخروج CSRF.
- أصفار ضعيفة أو تكوين TLS بدون إثبات مفهوم عملي.
- مشاكل في نسخ المحتوى أو حقنه بدون إظهار ناقل للهجوم.
- تحديد معدل أو مشاكل القوة القاهرة "brute force" على نقاط نهاية عدم المصادقة.
- علامات HttpOnly أو Secure مفقودة في ملفات تعريف الارتباط.
- الكشف عن إصدار البرنامج. مشاكل تحديد اللافتة. رؤوس أو رسائل خطأ وصفية (على سبيل المثال، آثار الكومة، أخطاء التطبيق أو الخادم).
- سيتم منح ثغرات "يوم الصفر" العامة التي كان لها تصحيح رسمي لمدة تقل عن شهر واحد على أساس كل حالة على حدة.
- Tabnabbing
- وجود المستخدم. تعداد المستخدم أو البريد الإلكتروني أو رقم الهاتف.
- عدم وجود قيود تعقيد كلمة المرور.
صيّادو المكافآت
نحن نشكُر الباحثين المذكورين أدناه على مساهماتهم القيّمة.
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh