برنامج Bug Bounty الخاص بـ TradingView

إذا وجدت ثغرة أمنية وأردت أن تخبرنا بها، يرجى التواصل معنا عبر البريد الإلكتروني‎

security@tradingview.com

نطاق البرنامج

نحن نقدم مكافآت عن التقارير حول الثغرات الأمنية في خدماتنا وبنية نظامنا الأساسية وتطبيقات الويب والأجهزة المحمولة

يمكن أن يغطي بحثك:

Tradingview.com وكذلك نطاقاته الفرعية

تطبيق iOS الأصلي

تطبيق أندرويد الأصلي

مكتبة الرسوم البيانية ومنصة التداول

المكافآت

تعتمد قيمة مكافأتك على الثغرة الأمنية المكتشفة ومدى تأثيرها على أمن الموقع. شاهد التفاصيل أسفله.

إلى حدود^$1500

الثغرات الأمنية تؤثر على خدماتنا بالكامل

تنفيذ التعليمات البرمجية عن بُعد (RCE)
الحصول على صلاحية وصول المدير
الحقن البرمجي ذي التأثير الكبير
الوصول غير المقيد إلى الملفات أو قواعد البيانات الداخلية
تزوير طلبات الخادم (SSRF)
الكشف عن المعلومات الهامة

إلى حدود^$700

الثغرات الأمنية التي لا تتطلب تفاعل المستخدم وتؤثر على العديد من المستخدمين

البرمجة عبر المواقع مخزنة (XSS) ذات تأثير كبير
تجاوز مصادقة يسمح بتغيير بيانات المستخدم أو الوصول إلى بيانات خاصة
مراجع الكائنات غير الآمنة (IDOR)

إلى حدود^$300

الثغرات الأمنية التي تتطلب تفاعل المستخدم أو تؤثر على المستخدمين الأفراد

البرمجة عبر المواقع (XSS)، مع استثناء Self-XSS
تزوير الطلبات عبر المواقع (CSRF)
إعادة توجيه URL
التلاعب بسمعة المستخدم

لاحظ أن مبالغ المكافآت يمكن أن يكون مختلفاً. قد تختلف المكافأة الفعلية اعتمادًا على مدى تأثير وصحة وإمكانية استغلال الثغرات بالإضافة إلى البيئة والعوامل الأخرى التي قد تؤثر على أمان الموقع.

يتم منح المكافآت عند العثور على الثغرات الأمنية في الخدمات الملحقة مثل Wiki والمدونة، وغيرها، والثغرات الأمنية في البيئات غير المنتجة مثل إصدارات "beta" و"staging" و"demo" وغيرها، عندما تكون مؤثرة على خدماتنا ككل أو قد تسبب تسرب بيانات المستخدمين الحساسة.

ستحتاج إلى مُعرف PayPal لأننا نستخدم PayPal لإصدار المكافآت.

لن تتلقى مكافأة لاكتشاف الثغرات التالية:

لست أول من يبلغ عن هذه الثغرة.
الثغرات الأمنية في برنامج المستخدم أو أن الثغرات الأمنية تتطلب الوصول الكامل إلى برنامج المستخدم أو حساباته أو بريده الإلكتروني أو هاتفه...;
ثغرات أو تسريبات في خدمات طرف آخر.
الثغرات الأمنية أو الإصدارات القديمة من برامج وبروتوكولات طرف آخر، أو إهمال الحماية، بالإضافة إلى عدم الامتثال للممارسات التي لا تشكل تهديدا على النظام الأمني.
الثغرات الأمنية بدون تأثير أمني كبير أو إمكانية الاستغلال.
الثغرات التي تتطلب من المستخدم أن يقوم بعمل غير اعتيادي.
الكشف عن المعلومات العامة أو غير الحساسة.
هجمات "Homograph".
الثغرات الأمنية التي تتطلب تعديل صلاحية الروت للأجهزة والتطبيقات، أو كسر حمايتها أو إجراء تعديلات عليها.

قوانين

يجب عدم الكشف عن وجود خطأ أو مشكلة ما قبل أن تحصل على موافقة منا. برجاء الصبر حيث تتم مراجعة تقارير البلاغات خلال أسبوعين ونحتاج إلى وقت لإصلاح الخطأ.
يجب أن يتضمن تقرير إبلاغ الأخطاء على وصفًا تفصيليًا للثغرة الأمنية التي تم اكتشافها والخطوات التي يجب اتخاذها لمعالجتها. إذا لم تشرح تفاصيل الخطأ أو الثغرات الأمنية ، فقد يستغرق الأمر وقتاً طويلاً لمراجعة التقرير و/أو قد يؤدي إلى رفض بلاغك.
يجب عدم استخدام الأدوات الآلية والماسحات للعثور على الثغرات الأمنية حيث لن تتم مراجعة هذه التقارير.
يجب ألا تقوم بأي عمليات هجومية من شأنها الإضرار بخدماتنا أو بياناتنا أو عملائنا. لا يُسمح باستخدام DDoS أو البريد العشوائي أو هجمات brute force.
يجب عدم إشراك مستخدمين آخرين دون موافقتهم الصريحة.
يجب عدم تنفيذ أو محاولة تنفيذ هجمات غير تقنية مثل الهندسة الاجتماعية أو التصيد الاحتيالي أو الهجمات البدنية ضد موظفينا أو مستخدمينا أو بنيتنا التحتية.