Program Pencarian Bug
TradingView
Jika anda ingin memberi tahu kami tentang adanya kerentanan, harap untuk mengirimkan laporannya melalui HackerOne.
Cakupan program
Kami menawarkan imbalan untuk laporan yang mengungkap adanya kerentanan keamaan pada layanan, infrastruktur, web dan aplikasi mobile kami seperti:
Imbalan
Imbalan anda akan tergantung pada kerentanan yang ditemukan juga efek kemanannya. Lihat selengkapnya dibawah ini.
Tinggi
Untuk kerentanan yang mempengaruhi keseluruhan platform kami
- Remote code execution (RCE)
- Mendapatkan akses administrator
- Injeksi dengan efek yang signifikan
- Akses tak terbatas menuju file atau database lokal
- Pemalsuan permintaan dari server / Server-side request forgery (SSRF)
- Pengungkapan informasi penting
Menengah
Untuk kerentanan yang tidak membutuhkan interaksi dan mempengaruhi banyak pengguna
- Cross-Site Scripting (XSS) tersimpan dengan efek yang signifikan
- Bypass otentikasi yang memungkinkan perubahan data pengguna atau akses ke data pribadi
- Insecure Direct Object References (IDOR)
- Pengambilalihan subdomain
Rendah
Untuk kerentanan yang memerlukan interaksi atau mempengaruhi pengguna secara individu
- Cross-Site Scripting (XSS), terkecuali self-XSS
- Cross-Site Request Forgery (CSRF)
- Pengalihan URL
- Manipulasi reputasi pengguna
Harap dicatat bahwa nilai imbalannya dapat berbeda. Imbalan dapat beragam tergantung pada tingkat keparahan, keaslian dan kemungkinan eksploitasi bug serta lingkungan dan faktor-faktor lain yang memengaruhi keamanan.
Kerentanan akan layanan tambahan seperti Wiki, Blog, dll. dan kerentanan lingkungan non-produksi seperti 'beta', 'staging', 'demo' dll. akan dihargai apabila kerentanan tersebut mempengaruhi layanan kami secara keseluruhan atau dapat menyebabkan kebocoran data pengguna yang sensitif.
Peraturan
- Sebuah laporan bug harus disertai dengan deskripsi yang lengkap dari kerentanan yang ditemukan serta tahapan yang perlu diambil untuk dapat mengulanginya kembali atau sebuah konsep bukti yang nyata. Jika anda tidak mendeskripsikan kerentanan tersebut secara detail maka dibutuhkan waktu yang cukup lama untuk mengulas laporan dan/atau dapat berujung kepada penolakan dari laporan anda.
- Harap untuk mengirimkan satu kerentanan per laporannya, kecuali jika anda perlu mengaitkan kerentanannya untuk menjabarkan dampaknya.
- Hanya orang yang pertama kali melaporkan kerentanan yang tidak diketahui yang akan diberi imbalan. Ketika duplikasi terjadi, kami hanya akan memberikan imbalan pada laporan pertama jika kerentanan tersebut dapat direproduksi sepenuhnya.
- Anda tidak diperkenankan menggunakan alat dan pemindai otomatis untuk menemukan kerentanan. Laporan semacam itu akan kami abaikan.
- Anda tidak diperkenankan melakukan serangan apa pun yang dapat merusak layanan atau data kami termasuk data klien. DDoS, spam, dan serangan paksa juga tidak diizinkan.
- Anda tidak diperkenankan melibatkan pengguna lain tanpa persetujuan secara eksplisit. Buatlah ide, skrip atau konten lain yang bersifat pribadi saat pengujiannya.
- Anda tidak diperkenankan melakukan atau mencoba melakukan serangan non-teknis seperti rekayasa sosial (cth. phishing, vishing, smishing) atau serangan fisik terhadap karyawan, pengguna, atau infrastruktur kami pada umumnya.
- Harap memberikan laporan detail dengan langkah-langkah yang dapat direproduksi. Jika laporan tidak cukup detail untuk mereproduksi permasalahan tersebut, maka permasalahan ini tidak akan memenuhi syarat untuk mendapatkan imbalan.
- Beberapa kerentanan yang disebabkan oleh satu permasalahan mendasar akan akan mendapatkan satu kali imbalan.
- Harap melakukan upaya itikad baik untuk menghindari pelanggaran privasi, perusakan data, dan gangguan atau penurunan layanan kami.
Kerentanan di luar cakupan
Permasalahan berikut dianggap di luar cakupan:
- Kerentanan dalam perangkat lunak pengguna atau kerentanan yang memerlukan akses penuh ke perangkat lunak pengguna, akun, email, telepon, dll.
- Kerentanan atau kebocoran pada layanan pihak ketiga
- Kerentanan atau versi lama dari perangkat lunak/protokol pihak ketiga, perlindungan yang terlewatkan serta penyimpangan dari praktik terbaik yang tidak menciptakan ancaman keamanan.
- Kerentanan tanpa dampak keamanan yang substansial atau kemungkinan eksploitasi.
- Kerentanan yang mengharuskan pengguna untuk melakukan tindakan yang tidak biasa;
- Pengungkapan informasi publik atau tidak sensitif.
- Serangan homograf.
- Kerentanan yang memerlukan perangkat dan aplikasi yang di-rooting, di-jailbreak atau dimodifikasi.
- Seluruh aktivitas yang dapat mengganggu layanan kami.
Berikut adalah beberapa contoh kerentanan yang tidak akan diberikan imbalan:
- Data geolokasi EXIF belum dilepaskan.
- Clickjacking pada halaman tanpa tindakan sensitif.
- Pemalsuan Permintaan Lintas Situs/Cross-Site Request Forgery (CSRF) pada formulir yang tidak diautentikasi atau formulir tanpa tindakan sensitif, keluar dari CSRF.
- Cipher atau konfigurasi TLS yang lemah tanpa Bukti Konsep/Proof of Concept yang bekerja.
- Spoofing atau injeksi konten tanpa menampilkan suatu vektor serangan.
- Isu pembatasan rate atau pemaksaan/brute force pada endpoint non-otentikasi.
- HttpOnly atau Secure flags yang hilang pada cookie.
- Pengungkapan versi perangkat lunak. Isu identifikasi banner. Pesan atau header error deskriptif (mis. stack trace, error aplikasi atau server).
- Kerentanan zero-day publik yang telah memiliki patch resmi selama kurang dari 1 bulan akan diberikan imbalan berdasarkan kasus per kasus.
- Tabnabbing.
- Keberadaan pengguna. Enumerasi pengguna, email atau nomor telepon.
- Kurangnya batasan kompleksitas kata sandi.
Para pemburu imbalan
Kami ingin menyampaikan rasa terima kasih kami kepada para peneliti pada daftar berikut ini atas kontribusi yang mereka lakukan.
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh