TradingView
Hata Hediye Programı
Bir güvenlik açığı hakkında bize bilgi vermek istiyorsanız, lütfen HackerOne aracılığıyla bir rapor gönderin.
Programın kapsamı
Hizmetlerimizdeki, altyapıdaki, web'deki ve mobil uygulamalardaki güvenlik açıklarını kapsayan raporlar için ödüller sunuyoruz:
TradingView.com ve alt alan adları
Orjinal iOS uygulaması
Orjinal Android uygulaması
Grafik çözümleri
Desktop App
Ödüller
Ödülünüz, keşfedilen güvenlik açığına ve bunun güvenlik etkisine bağlı olacaktır. Aşağıdaki ayrıntılara bakınız.
Yüksek
Tüm platformumuzu etkileyen bir güvenlik açığı için
- Uzaktan kod yürütme (RCE)
- Yönetici erişimi kazanma
- Önemli etkisi olan enjeksiyonlar
- Yerel dosyalara veya veritabanlarına sınırsız erişim
- Sunucu-taraflı istek sahteciliği (SSRF)
- Kritik bilgilerin ifşa edilmesi
Orta
Kullanıcı etkileşimi gerektirmeyen ve birçok kullanıcıyı etkileyen güvenlik açığı için
- Önemli etkiye sahip Stored Cross-Site Scripting (XSS)
- Kullanıcı verilerinin değiştirilmesine veya özel verilere erişime izin veren bir kimlik doğrulama atlaması
- Insecure Direct Object References (IDOR)
- Alt domain devralma
Düşük
Kullanıcı etkileşimi gerektiren veya tek tek kullanıcıları etkileyen güvenlik açığı için
- Self-XSS dışında, Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- URL yönlendirme
- Kullanıcı itibarı manipülasyonu
Ödül miktarlarının farklı olabileceğini unutmayın. Gerçek bir ödül, ortam ve güvenliği etkileyen diğer faktörlerin yanı sıra, hataların önemi, emsalsizliği ve kullanım olasılıklarına bağlı olarak değişebilir.
Wiki, Blog vb. yardımcı hizmetlerin güvenlik açıkları ve 'beta', 'staging', 'demo' vb. gibi yayında olmayan ortamların zayıflıkları yalnızca hizmetimizi bir bütün olarak etkilediklerinde veya hassas kullanıcı verilerinde zafiyete neden olabilecekleri takdirde ödüllendirilir.
Kurallar
- Hata raporu tespit edilen sistem açığının detaylı açıklaması ve tekrar oluşturmak için takip edilmesi gereken adımları veya çalışan şekilde kavramın ispatını içermelidir. Eğer sistem açığını detaylı bir şekilde açıklamazsanız raporun incelenmesi uzun zaman alabilir ve/veya raporun reddedilmesine neden olabilir.
- Etki kanıtlamak için güvenlik açıklarını zincirlemeniz gerekmiyorsa, lütfen rapor başına yalnızca bir güvenlik açığı gönderin.
- Yalnızca bilinmeyen bir güvenlik açığını bildiren ilk kişi ödüllendirilecektir. Yinelemeler meydana geldiğinde, yalnızca güvenlik açığı tamamen yeniden oluşturulabiliyorsa ilk raporu ödüllendireceğiz.
- Otomatik araçlar ve tarayıcılar kullanılarak hazırlanan güvenlik açıkları raporları göz ardı edilecektir.
- Kullanıcıların verileri de dahil olmak üzere verilerimize veya hizmetlerimize zarar verebilecek hiçbir saldırı yapmamalısınız. DDoS, spam, brute force saldırılarına izin verilmez.
- Açık izinleri olmadan başka kullanıcıları dahil etmemelisiniz.
- Çalışanlarımıza, kullanıcılarımıza veya altyapıya genel olarak sosyal mühendislik, phishing veya fiziksel saldırılar gibi teknik olmayan saldırılar gerçekleştirmemelisiniz.
- Lütfen tekrarlanabilir adımlarla ayrıntılı raporlar sağlayın. Rapor, sorunu yeniden oluşturacak kadar ayrıntılı değilse, sorun ödül almaya uygun olmayacaktır.
- Bir temel sorunun neden olduğu birden fazla güvenlik açığına bir ödül verilecektir.
- Lütfen gizlilik ihlallerini, verilerin yok edilmesini ve hizmetimizin kesintiye uğramasını veya bozulmasını önlemek için iyi niyetle çaba gösterin.
Kapsam dışı güvenlik açıkları
Şu açıklar kapsam dışı kabul edilir:
- Kullanıcının yazılımındaki güvenlik açıkları veya kullanıcının yazılımına, hesaplarına, e-postalarına, telefonlarına vb. tam erişim gerektiren güvenlik açıkları.
- Üçüncü taraf hizmetlerdeki güvenlik açıkları veya sızıntılar;
- Güvenlik tehdidi oluşturmayan; üçüncü taraf yazılım/protokollerin eski sürümleri yada güvenlik açıkları, eksik kalmış koruma ve en iyi uygulamadanlardan sapma;
- Önemli güvenlik etkisi veya istismar olasılığı bulunmayan güvenlik açıkları;
- Kullanıcının olağandışı eylemler gerçekleştirmesini gerektiren güvenlik açıkları;
- Kamuya açık, veya hassas olmayan bilgilerin ifşa edilmesi;
- Homograf saldırıları;
- Rooted, jailbroken veya modifiye cihazlar ve uygulamalar gerektiren güvenlik açıkları.
- Servisimizin kesilmesine yol açabilecek herhangi bir aktivite.
Ödüllendirilmeyen bu tür güvenlik açıklarının birkaç örneği vardır:
- EXIF coğrafi konum verileri çıkarılmamış.
- Hassas eylemleri olmayan sayfalarda tıklama hırsızlığı.
- Kimliği doğrulanmamış formlarda veya hassas eylemler içermeyen formlarda Siteler Arası İstek Sahteciliği (CSRF), CSRF oturumunu kapatın.
- Çalışan bir Proof of Concept olmadan zayıf şifreler veya TLS yapılandırması.
- Bir saldırı vektörü göstermeden içerik sahteciliği veya ekleme sorunları.
- Kimlik doğrulaması olmayan uç noktalarda hız sınırlama veya zorlayıcı kuvvet sorunları.
- Çerezlerde HttpOnly veya Secure bayrakları eksik.
- Yazılım sürümü açıklaması. Banner tanımlama sorunları. Açıklayıcı hata mesajları veya üstbilgileri (ör. yığın izleri, uygulama veya sunucu hataları).
- 1 aydan daha kısa bir süredir resmi yamaya sahip olan genel sıfır gün güvenlik açıkları, duruma göre ayrı ayrı ödüllendirilecektir.
- Sekme yakalama.
- Kullanıcı varlığı. Kullanıcı, e-posta veya telefon numarası numaralandırma.
- Parola karmaşıklığı kısıtlamalarının olmaması.
Ödül avcıları
Aşağıda listelenen araştırmacılara katkılarından dolayı içtenlikle teşekkür ederiz.
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh