برنامج Bug Bounty الخاص بـ TradingView
إذا كنت تريد إخبارنا بوجود ثغرة أمنية، فيرجى إرسال تقرير عبر HackerOne.
نطاق البرنامج
نقدم مكافآت عن التقارير التي ترصد الثغرات الأمنية في خدماتنا وبنية نظامنا الأساسية وتطبيقات الويب والأجهزة المحمولة على غرار:
TradingView.com ونطاقاته الفرعية
تطبيق iOS الأصلي
تطبيق أندرويد الأصلي
مكتبة الرسوم البيانية ومنصة التداول
المكافآت
تعتمد قيمة مكافأتك على الثغرة الأمنية المكتشفة ومدى تأثيرها على أمن الموقع. شاهد التفاصيل أسفله.
تصل إلى$1500
للثغرات الأمنية التي تؤثر على منصتنا بأكملها
- تنفيذ التعليمات البرمجية عن بُعد (RCE)
- الحصول على صلاحيات مدير
- الحقن البرمجي ذي التأثير الكبير
- الوصول غير المقيد إلى الملفات أو قواعد البيانات الداخلية
- تزوير طلبات الخادم (SSRF)
- الكشف عن المعلومات الهامة
تصل إلى$700
الثغرات الأمنية التي لا تتطلب تفاعل المستخدم وتؤثر على العديد من المستخدمين
- البرمجة عبر المواقع المخزنة (XSS) ذات التأثير الكبير
- تجاوز مصادقة يسمح بتغيير بيانات المستخدم أو الوصول إلى بيانات خاصة
- مراجع الكائنات غير الآمنة (IDOR)
تصل إلى$300
الثغرات الأمنية التي تتطلب تفاعل المستخدم أو تؤثر على المستخدمين الأفراد
- البرمجة عبر المواقع (XSS)، مع استثناء Self-XSS
- تزوير الطلبات عبر المواقع (CSRF)
- إعادة توجيه رابط URL
- التلاعب بسمعة المستخدم
لاحظ أن مبالغ المكافآت يمكن أن يكون مختلفاً. قد تختلف المكافأة الفعلية اعتمادًا على مدى تأثير وصحة وإمكانية استغلال الثغرات بالإضافة إلى البيئة والعوامل الأخرى التي قد تؤثر على أمان الموقع.
يتم منح المكافآت عند العثور على الثغرات الأمنية في الخدمات الملحقة مثل Wiki والمدونة، وغيرها، والثغرات الأمنية في البيئات غير المنتجة مثل إصدارات "beta" و"staging" و"demo" وغيرها، عندما تكون مؤثرة على خدماتنا ككل أو قد تسبب تسرب بيانات المستخدمين الحساسة.
ستحتاج إلى مُعرف PayPal لأننا نستخدم PayPal لإصدار المكافآت.
لن تتلقى مكافأة لاكتشاف الثغرات التالية:
- لست أول من يبلغ عن هذه الثغرة.
- الثغرات الأمنية في برنامج المستخدم أو أن الثغرات الأمنية تتطلب الوصول الكامل إلى برنامج المستخدم أو حساباته أو بريده الإلكتروني أو هاتفه...;
- ثغرات أو تسريبات في خدمات طرف آخر.
- الثغرات الأمنية أو الإصدارات القديمة من برامج وبروتوكولات طرف آخر، أو إهمال الحماية، بالإضافة إلى عدم الامتثال للممارسات التي لا تشكل تهديدا على النظام الأمني.
- الثغرات الأمنية بدون تأثير أمني كبير أو إمكانية الاستغلال.
- الثغرات التي تتطلب من المستخدم أن يقوم بعمل غير اعتيادي.
- الكشف عن المعلومات العامة أو غير الحساسة.
- هجمات "Homograph".
- الثغرات الأمنية التي تتطلب تعديل صلاحية الروت للأجهزة والتطبيقات، أو كسر حمايتها أو إجراء تعديلات عليها.
قوانين
- يرجى الصبر قليلاً حيث تتم مراجعة تقارير البلاغات خلال أسبوعين وقد نحتاج إلى بعض الوقت لإصلاح المشكلة.
- يجب أن يتضمن تقرير إبلاغ الأخطاء على وصفًا تفصيليًا للثغرة الأمنية التي تم اكتشافها والخطوات التي يجب اتخاذها لمعالجتها. إذا لم تشرح تفاصيل الخطأ أو الثغرات الأمنية ، فقد يستغرق الأمر وقتاً طويلاً لمراجعة التقرير و/أو قد يؤدي إلى رفض بلاغك.
- يجب عدم استخدام الأدوات الآلية والماسحات للعثور على الثغرات الأمنية حيث سيتم تجاهل هذه التقارير.
- يجب ألا تقوم بأي عمليات هجومية من شأنها الإضرار بخدماتنا أو بياناتنا أو عملائنا. لا يُسمح باستخدام DDoS أو البريد العشوائي أو هجمات brute force.
- يجب عدم إشراك مستخدمين آخرين دون موافقتهم الصريحة.
- يجب عدم تنفيذ أو محاولة تنفيذ هجمات غير تقنية مثل الهندسة الاجتماعية أو التصيد الاحتيالي أو الهجمات البدنية ضد موظفينا أو مستخدمي موقعنا أو بنيتنا الأساسية.
صيّادو المكافآت
نحن نشكُر الباحثين المذكورين أدناه على مساهماتهم القيّمة.
