ابدأ الآن

برنامج مكافئات اكتشاف الثغرات الأمنية

هل عثرت على ثغرة في منصتنا؟ أخبرنا.

حول البرنامج

احصل على مكافآت لمساعدتنا في تحسين منصتنا. يمكن أن تغطي التقارير الثغرات الأمنية في خدماتنا وبنيتنا التحتية وتطبيقاتنا.

الموقع الإلكتروني

مشاكل على TradingView.com والنطاقات الفرعية التابعة لها.

تطبيقات الهاتف الجوال

مشاكل على منصات iOS وأندرويد.

حلول الرسوم البيانية 

أخطاء في الأدوات أو الأدوات أو واجهات برمجة التطبيقات.

تطبيق الحاسوب

الأخطاء أو مشكلات الأداء في تطبيق الحاسوب.

مستويات المكافآت

تعتمد مكافأتك على نوع الثغرة المبلغ عنها وتأثيرها الأمني العام.

  • تنفيذ تعليمات برمجية عن بُعد (RCE) أو الوصول إلى صلاحيات المدير
  • ثغرات حقن ذات تأثير عالٍ
  • الوصول غير المقيد إلى الملفات أو قواعد البيانات الداخلية
  • تجاوز المصادقة بما يسمح بتعديل بيانات المستخدم أو الوصول إلى بيانات خاصة
  • الاستيلاء على نطاق فرعي
  • أخطاء منطقية تؤدي إلى تأثير مالي مثل الحصول على اشتراك مجانًا
  • هجمات البرمجة النصية عبر المواقع (XSS) باستثناء self-XSS
  • تزوير الطلبات عبر المواقع (CSRF)
  • التلاعب بسمعة المستخدم
  • ثغرات حقن ذات تأثير منخفض
  • تجاوز قيود المستخدم

قد تختلف مبالغ المكافآت. يمكن أن تتغير المكافأة الفعلية حسب خطورة الثغرة وأصالتها وإمكانية استغلالها، إضافة إلى البيئة وعوامل أخرى تؤثر في الأمان.

يتم منح المكافآت عند العثور على الثغرات الأمنية في الخدمات الملحقة مثل Wiki والمدونة، وغيرها، والثغرات الأمنية في البيئات غير المنتجة مثل إصدارات "beta" و"staging" و"demo" وغيرها، عندما تكون مؤثرة على خدماتنا ككل أو قد تسبب تسرب بيانات المستخدمين الحساسة.

قوانين

  1. يجب أن يتضمن تقرير إبلاغ الأخطاء على وصفًا تفصيليًا للثغرة الأمنية التي تم اكتشافها والخطوات التي يجب اتخاذها لمعالجتها. إذا لم تشرح تفاصيل الخطأ أو الثغرات الأمنية، فقد يستغرق الأمر وقتاً طويلاً لمراجعة التقرير و/أو قد يؤدي إلى رفض بلاغك.
  2. الرجاء إرسال ثغرة أمنية واحدة فقط لكل تقرير، إلا إذا كنت بحاجة إلى سلسلة من الثغرات لتوفير التأثير.
  3. سيتم فقط مكافأة أول شخص يبلغ عن ثغرة أمنية غير معروفة. عند حدوث تكرار، سنمنح التقرير الأول فقط إذا كان من الممكن إعادة إنتاج الثغرة الأمنية بالكامل.
  4. يجب عدم استخدام الأدوات الآلية والماسحات للعثور على الثغرات الأمنية حيث سيتم تجاهل هذه التقارير.
  5. يجب عدم تنفيذ أي هجوم قد يضر بخدماتنا أو بياناتنا، بما في ذلك بيانات العملاء. إذا تبيّن حدوث هجمات DDoS أو البريد العشوائي أو هجمات القوة الغاشمة، فلن يتم منح أي مكافآت.
  6. يجب عدم إشراك مستخدمين آخرين دون موافقتهم الصريحة.
  7. يجب عدم تنفيذ أو محاولة تنفيذ هجمات غير تقنية مثل الهندسة الاجتماعية أو التصيد الاحتيالي أو الهجمات البدنية ضد موظفينا أو مستخدمي موقعنا أو بنيتنا الأساسية.
  8. يرجى تقديم تقارير مفصلة بخطوات قابلة للتكرار. إذا لم يكن التقرير مفصلاً بما يكفي لإعادة إنتاج المشكلة، فلن تكون المشكلة مؤهلة للحصول على مكافأة.
  9. سيتم منح نقاط الضعف المتعددة الناتجة عن مشكلة أساسية واحدة مكافأة واحدة.
  10. يرجى بذل جهد بحسن النية لتجنب انتهاكات الخصوصية وتدمير البيانات وانقطاع أو تدهور خدمتنا.

نقاط الضعف خارج النطاق

تُعد المشكلات التالية خارج نطاق البرنامج.

  • ثغرات في برامج المستخدمين أو ثغرات تتطلب وصولًا كاملًا إلى برنامج المستخدم أو حسابه أو بريده الإلكتروني أو هاتفه وغيرها
  • ثغرات أو تسريبات في خدمات تابعة لجهات خارجية
  • ثغرات أو إصدارات قديمة لبرامج أو بروتوكولات تابعة لجهات خارجية، أو غياب حماية، أو انحراف عن أفضل الممارسات لا يسبب تهديدًا أمنيًا
  • ثغرات بلا تأثير أمني جوهري أو إمكانية استغلال
  • ثغرات تتطلب من المستخدم تنفيذ إجراءات غير معتادة
  • كشف معلومات عامة أو غير حساسة
  • هجمات التشابه البصري
  • ثغرات تتطلب أجهزة أو تطبيقات معدلة أو مفتوحة القيود
  • أي نشاط قد يؤدي إلى تعطيل خدمتنا

توجد عدة أمثلة على مثل هذه الثغرات التي لا تُمنح عنها مكافآت.

  • لم تتم إزالة بيانات الموقع الجغرافي EXIF
  • هجمات Clickjacking على صفحات لا تحتوي على إجراءات حساسة
  • هجمات تزوير طلبات المواقع (CSRF) على نماذج غير موثقة أو نماذج لا تحتوي على إجراءات حساسة، أو CSRF لتسجيل الخروج
  • خوارزميات تشفير ضعيفة أو إعدادات TLS دون إثبات مفهوم عملي
  • مشكلات انتحال المحتوى أو حقنه دون وجود مسار هجوم واضح
  • مشكلات تحديد المعدل أو هجمات القوة الغاشمة على نقاط نهاية غير متعلقة بالمصادقة
  • غياب سمتي HttpOnly أو Secure في ملفات تعريف الارتباط
  • كشف إصدار البرنامج. مشكلات تحديد هوية اللافتات. رسائل أو عناوين أخطاء وصفية (مثل تتبع المكدس أو أخطاء التطبيق أو الخادم)
  • الثغرات العامة من نوع يوم الصفر التي صدر لها تصحيح رسمي منذ أقل من شهر سيتم تقييمها ومنح مكافآت لها كل حالة على حدة
  • Tabnabbing
  • التحقق من وجود مستخدم. تعداد المستخدمين أو البريد الإلكتروني أو أرقام الهواتف
  • غياب قيود تعقيد كلمة المرور