Şimdi başlat

Bug Bounty program

Found a vulnerability on our platform? Let us know.

About the program

Get rewarded for helping us improve our platform. Reports can cover security vulnerabilities in our services, infrastructure, and applications.

Site

TradingView.com ve alt alan adlarındaki sorunlar.

Mobil uygulamalar

iOS ve Android platformlarındaki sorunlar.

Grafik Çözümleri 

Araçlarda, widget'larda veya API'lerde hatalar.

Masaüstü uygulaması

Masaüstü uygulamasındaki hatalar veya performans sorunları.

Reward levels

Your reward depends on the type of vulnerability reported and its overall security impact.

  • Remote code execution (RCE) or administrator access
  • High-impact injection vulnerabilities
  • Unrestricted access to local files or databases
  • Authentication bypass allowing modification of user data or access to private data
  • Subdomain takeover
  • Logical flaws causing financial impact e.g., obtaining a subscription for free
  • Cross-site scripting (XSS), excluding self-XSS
  • Cross-site request forgery (CSRF)
  • User reputation manipulation
  • Low-impact injection vulnerabilities
  • Bypassing user restrictions

Reward amounts can vary. The actual reward may change depending on the severity, genuineness, and exploitation possibilities of bugs, as well as the environment and other factors that affect security.

Wiki, Blog vb. yardımcı hizmetlerin güvenlik açıkları ve 'beta', 'staging', 'demo' vb. gibi yayında olmayan ortamların zayıflıkları yalnızca hizmetimizi bir bütün olarak etkilediklerinde veya hassas kullanıcı verilerinde zafiyete neden olabilecekleri takdirde ödüllendirilir.

Kurallar

  1. Hata raporu tespit edilen sistem açığının detaylı açıklaması ve tekrar oluşturmak için takip edilmesi gereken adımları veya çalışan şekilde kavramın ispatını içermelidir. Eğer sistem açığını detaylı bir şekilde açıklamazsanız raporun incelenmesi uzun zaman alabilir ve/veya raporun reddedilmesine neden olabilir.
  2. Etki kanıtlamak için güvenlik açıklarını zincirlemeniz gerekmiyorsa, lütfen rapor başına yalnızca bir güvenlik açığı gönderin.
  3. Yalnızca bilinmeyen bir güvenlik açığını bildiren ilk kişi ödüllendirilecektir. Yinelemeler meydana geldiğinde, yalnızca güvenlik açığı tamamen yeniden oluşturulabiliyorsa ilk raporu ödüllendireceğiz.
  4. Otomatik araçlar ve tarayıcılar kullanılarak hazırlanan güvenlik açıkları raporları göz ardı edilecektir.
  5. You should not perform any attack that could damage our services or data including client data. If it's discovered that DDoS, spam, and brute force attacks have occurred rewards will not be given.
  6. Açık izinleri olmadan başka kullanıcıları dahil etmemelisiniz.
  7. Çalışanlarımıza, kullanıcılarımıza veya altyapıya genel olarak sosyal mühendislik, phishing veya fiziksel saldırılar gibi teknik olmayan saldırılar gerçekleştirmemelisiniz.
  8. Lütfen tekrarlanabilir adımlarla ayrıntılı raporlar sağlayın. Rapor, sorunu yeniden oluşturacak kadar ayrıntılı değilse, sorun ödül almaya uygun olmayacaktır.
  9. Bir temel sorunun neden olduğu birden fazla güvenlik açığına bir ödül verilecektir.
  10. Lütfen gizlilik ihlallerini, verilerin yok edilmesini ve hizmetimizin kesintiye uğramasını veya bozulmasını önlemek için iyi niyetle çaba gösterin.

Kapsam dışı güvenlik açıkları

The following issues are considered out of scope.

  • Vulnerabilities in users' software or vulnerabilities that require full access to user's software, account/s, email, phone etc
  • Vulnerabilities or leaks in third-party services
  • Vulnerabilities or old versions of third party software/protocols, missed protection as well as a deviation from best practices that don't create a security threat
  • Vulnerabilities with no substantial security impact or exploitation possibility
  • Vulnerabilities that require the user to perform unusual actions
  • Disclosure of public or non-sensitive information
  • Homograph attacks
  • Vulnerabilities that require rooted, jailbroken or modified devices and applications
  • Any activity that could lead to the disruption of our service

There are several examples of such vulnerabilities that are not rewarded.

  • EXIF geolocation data not stripped
  • Clickjacking on pages with no sensitive actions
  • Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions, logout CSRF
  • Weak ciphers or TLS configuration without a working Proof of Concept
  • Content spoofing or injection issues without showing an attack vector
  • Rate limiting or brute force issues on non-authentication endpoints
  • Missing HttpOnly or Secure flags on cookies
  • Software version disclosure. Banner identification issues. Descriptive error messages or headers (e.g. stack traces, application or server errors)
  • Public zero-day vulnerabilities that have had an official patch for less than 1 month will be awarded on a case by case basis
  • Tabnabbing
  • User existence. User, email or phone number enumeration
  • Lack of password complexity restrictions