Program Pencarian Bug

TradingView

Jika anda ingin memberi tahu kami tentang adanya kerentanan, harap untuk mengirimkan laporannya melalui HackerOne.

Cakupan program

Kami menawarkan imbalan untuk laporan yang mengungkap adanya kerentanan keamaan pada layanan, infrastruktur, web dan aplikasi mobile kami seperti:

TradingView.com beserta subdomainnya

App iOS

App Android

Solusi charting

App desktop

Imbalan

Imbalan anda akan tergantung pada kerentanan yang ditemukan juga efek kemanannya. Lihat selengkapnya dibawah ini.

Tinggi

Untuk kerentanan yang mempengaruhi keseluruhan platform kami

  • Remote code execution (RCE)
  • Mendapatkan akses administrator
  • Injeksi dengan efek yang signifikan
  • Akses tak terbatas menuju file atau database lokal
  • Pemalsuan permintaan dari server / Server-side request forgery (SSRF)
  • Pengungkapan informasi penting

Menengah

Untuk kerentanan yang tidak membutuhkan interaksi dan mempengaruhi banyak pengguna

  • Cross-Site Scripting (XSS) tersimpan dengan efek yang signifikan
  • Bypass otentikasi yang memungkinkan perubahan data pengguna atau akses ke data pribadi
  • Insecure Direct Object References (IDOR)
  • Pengambilalihan subdomain

Rendah

Untuk kerentanan yang memerlukan interaksi atau mempengaruhi pengguna secara individu

  • Cross-Site Scripting (XSS), terkecuali self-XSS
  • Cross-Site Request Forgery (CSRF)
  • Pengalihan URL
  • Manipulasi reputasi pengguna

Harap dicatat bahwa nilai imbalannya dapat berbeda. Imbalan dapat beragam tergantung pada tingkat keparahan, keaslian dan kemungkinan eksploitasi bug serta lingkungan dan faktor-faktor lain yang memengaruhi keamanan.

Kerentanan akan layanan tambahan seperti Wiki, Blog, dll. dan kerentanan lingkungan non-produksi seperti 'beta', 'staging', 'demo' dll. akan dihargai apabila kerentanan tersebut mempengaruhi layanan kami secara keseluruhan atau dapat menyebabkan kebocoran data pengguna yang sensitif.

Peraturan

  1. Sebuah laporan bug harus disertai dengan deskripsi yang lengkap dari kerentanan yang ditemukan serta tahapan yang perlu diambil untuk dapat mengulanginya kembali atau sebuah konsep bukti yang nyata. Jika anda tidak mendeskripsikan kerentanan tersebut secara detail maka dibutuhkan waktu yang cukup lama untuk mengulas laporan dan/atau dapat berujung kepada penolakan dari laporan anda.
  2. Harap untuk mengirimkan satu kerentanan per laporannya, kecuali jika anda perlu mengaitkan kerentanannya untuk menjabarkan dampaknya.
  3. Hanya orang yang pertama kali melaporkan kerentanan yang tidak diketahui yang akan diberi imbalan. Ketika duplikasi terjadi, kami hanya akan memberikan imbalan pada laporan pertama jika kerentanan tersebut dapat direproduksi sepenuhnya.
  4. Anda tidak diperkenankan menggunakan alat dan pemindai otomatis untuk menemukan kerentanan. Laporan semacam itu akan kami abaikan.
  5. Anda tidak diperkenankan melakukan serangan apa pun yang dapat merusak layanan atau data kami termasuk data klien. DDoS, spam, dan serangan paksa juga tidak diizinkan.
  6. Anda tidak diperkenankan melibatkan pengguna lain tanpa persetujuan secara eksplisit. Buatlah ide, skrip atau konten lain yang bersifat pribadi saat pengujiannya.
  7. Anda tidak diperkenankan melakukan atau mencoba melakukan serangan non-teknis seperti rekayasa sosial (cth. phishing, vishing, smishing) atau serangan fisik terhadap karyawan, pengguna, atau infrastruktur kami pada umumnya.
  8. Harap memberikan laporan detail dengan langkah-langkah yang dapat direproduksi. Jika laporan tidak cukup detail untuk mereproduksi permasalahan tersebut, maka permasalahan ini tidak akan memenuhi syarat untuk mendapatkan imbalan.
  9. Beberapa kerentanan yang disebabkan oleh satu permasalahan mendasar akan akan mendapatkan satu kali imbalan.
  10. Harap melakukan upaya itikad baik untuk menghindari pelanggaran privasi, perusakan data, dan gangguan atau penurunan layanan kami.

Kerentanan di luar cakupan

Permasalahan berikut dianggap di luar cakupan:

  • Kerentanan dalam perangkat lunak pengguna atau kerentanan yang memerlukan akses penuh ke perangkat lunak pengguna, akun, email, telepon, dll.
  • Kerentanan atau kebocoran pada layanan pihak ketiga
  • Kerentanan atau versi lama dari perangkat lunak/protokol pihak ketiga, perlindungan yang terlewatkan serta penyimpangan dari praktik terbaik yang tidak menciptakan ancaman keamanan.
  • Kerentanan tanpa dampak keamanan yang substansial atau kemungkinan eksploitasi.
  • Kerentanan yang mengharuskan pengguna untuk melakukan tindakan yang tidak biasa;
  • Pengungkapan informasi publik atau tidak sensitif.
  • Serangan homograf.
  • Kerentanan yang memerlukan perangkat dan aplikasi yang di-rooting, di-jailbreak atau dimodifikasi.
  • Seluruh aktivitas yang dapat mengganggu layanan kami.

Berikut adalah beberapa contoh kerentanan yang tidak akan diberikan imbalan:

  • Data geolokasi EXIF ​​belum dilepaskan.
  • Clickjacking pada halaman tanpa tindakan sensitif.
  • Pemalsuan Permintaan Lintas Situs/Cross-Site Request Forgery (CSRF) pada formulir yang tidak diautentikasi atau formulir tanpa tindakan sensitif, keluar dari CSRF.
  • Cipher atau konfigurasi TLS yang lemah tanpa Bukti Konsep/Proof of Concept yang bekerja.
  • Spoofing atau injeksi konten tanpa menampilkan suatu vektor serangan.
  • Isu pembatasan rate atau pemaksaan/brute force pada endpoint non-otentikasi.
  • HttpOnly atau Secure flags yang hilang pada cookie.
  • Pengungkapan versi perangkat lunak. Isu identifikasi banner. Pesan atau header error deskriptif (mis. stack trace, error aplikasi atau server).
  • Kerentanan zero-day publik yang telah memiliki patch resmi selama kurang dari 1 bulan akan diberikan imbalan berdasarkan kasus per kasus.
  • Tabnabbing.
  • Keberadaan pengguna. Enumerasi pengguna, email atau nomor telepon.
  • Kurangnya batasan kompleksitas kata sandi.

Para pemburu imbalan

Kami ingin menyampaikan rasa terima kasih kami kepada para peneliti pada daftar berikut ini atas kontribusi yang mereka lakukan.

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague