TradingView

Hata Hediye Programı

Bir güvenlik açığı hakkında bize bilgi vermek istiyorsanız, lütfen HackerOne aracılığıyla bir rapor gönderin.

Programın kapsamı

Hizmetlerimizdeki, altyapıdaki, web'deki ve mobil uygulamalardaki güvenlik açıklarını kapsayan raporlar için ödüller sunuyoruz:

TradingView.com ve alt alan adları

Orjinal iOS uygulaması

Orjinal Android uygulaması

Grafik çözümleri

Desktop App

Ödüller

Ödülünüz, keşfedilen güvenlik açığına ve bunun güvenlik etkisine bağlı olacaktır. Aşağıdaki ayrıntılara bakınız.

Yüksek

Tüm platformumuzu etkileyen bir güvenlik açığı için

  • Uzaktan kod yürütme (RCE)
  • Yönetici erişimi kazanma
  • Önemli etkisi olan enjeksiyonlar
  • Yerel dosyalara veya veritabanlarına sınırsız erişim
  • Sunucu-taraflı istek sahteciliği (SSRF)
  • Kritik bilgilerin ifşa edilmesi

Orta

Kullanıcı etkileşimi gerektirmeyen ve birçok kullanıcıyı etkileyen güvenlik açığı için

  • Önemli etkiye sahip Stored Cross-Site Scripting (XSS)
  • Kullanıcı verilerinin değiştirilmesine veya özel verilere erişime izin veren bir kimlik doğrulama atlaması
  • Insecure Direct Object References (IDOR)
  • Alt domain devralma

Düşük

Kullanıcı etkileşimi gerektiren veya tek tek kullanıcıları etkileyen güvenlik açığı için

  • Self-XSS dışında, Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • URL yönlendirme
  • Kullanıcı itibarı manipülasyonu

Ödül miktarlarının farklı olabileceğini unutmayın. Gerçek bir ödül, ortam ve güvenliği etkileyen diğer faktörlerin yanı sıra, hataların önemi, emsalsizliği ve kullanım olasılıklarına bağlı olarak değişebilir.

Wiki, Blog vb. yardımcı hizmetlerin güvenlik açıkları ve 'beta', 'staging', 'demo' vb. gibi yayında olmayan ortamların zayıflıkları yalnızca hizmetimizi bir bütün olarak etkilediklerinde veya hassas kullanıcı verilerinde zafiyete neden olabilecekleri takdirde ödüllendirilir.

Kurallar

  1. Hata raporu tespit edilen sistem açığının detaylı açıklaması ve tekrar oluşturmak için takip edilmesi gereken adımları veya çalışan şekilde kavramın ispatını içermelidir. Eğer sistem açığını detaylı bir şekilde açıklamazsanız raporun incelenmesi uzun zaman alabilir ve/veya raporun reddedilmesine neden olabilir.
  2. Etki kanıtlamak için güvenlik açıklarını zincirlemeniz gerekmiyorsa, lütfen rapor başına yalnızca bir güvenlik açığı gönderin.
  3. Yalnızca bilinmeyen bir güvenlik açığını bildiren ilk kişi ödüllendirilecektir. Yinelemeler meydana geldiğinde, yalnızca güvenlik açığı tamamen yeniden oluşturulabiliyorsa ilk raporu ödüllendireceğiz.
  4. Otomatik araçlar ve tarayıcılar kullanılarak hazırlanan güvenlik açıkları raporları göz ardı edilecektir.
  5. Kullanıcıların verileri de dahil olmak üzere verilerimize veya hizmetlerimize zarar verebilecek hiçbir saldırı yapmamalısınız. DDoS, spam, brute force saldırılarına izin verilmez.
  6. Açık izinleri olmadan başka kullanıcıları dahil etmemelisiniz.
  7. Çalışanlarımıza, kullanıcılarımıza veya altyapıya genel olarak sosyal mühendislik, phishing veya fiziksel saldırılar gibi teknik olmayan saldırılar gerçekleştirmemelisiniz.
  8. Lütfen tekrarlanabilir adımlarla ayrıntılı raporlar sağlayın. Rapor, sorunu yeniden oluşturacak kadar ayrıntılı değilse, sorun ödül almaya uygun olmayacaktır.
  9. Bir temel sorunun neden olduğu birden fazla güvenlik açığına bir ödül verilecektir.
  10. Lütfen gizlilik ihlallerini, verilerin yok edilmesini ve hizmetimizin kesintiye uğramasını veya bozulmasını önlemek için iyi niyetle çaba gösterin.

Kapsam dışı güvenlik açıkları

Şu açıklar kapsam dışı kabul edilir:

  • Kullanıcının yazılımındaki güvenlik açıkları veya kullanıcının yazılımına, hesaplarına, e-postalarına, telefonlarına vb. tam erişim gerektiren güvenlik açıkları.
  • Üçüncü taraf hizmetlerdeki güvenlik açıkları veya sızıntılar;
  • Güvenlik tehdidi oluşturmayan; üçüncü taraf yazılım/protokollerin eski sürümleri yada güvenlik açıkları, eksik kalmış koruma ve en iyi uygulamadanlardan sapma;
  • Önemli güvenlik etkisi veya istismar olasılığı bulunmayan güvenlik açıkları;
  • Kullanıcının olağandışı eylemler gerçekleştirmesini gerektiren güvenlik açıkları;
  • Kamuya açık, veya hassas olmayan bilgilerin ifşa edilmesi;
  • Homograf saldırıları;
  • Rooted, jailbroken veya modifiye cihazlar ve uygulamalar gerektiren güvenlik açıkları.
  • Servisimizin kesilmesine yol açabilecek herhangi bir aktivite.

Ödüllendirilmeyen bu tür güvenlik açıklarının birkaç örneği vardır:

  • EXIF coğrafi konum verileri çıkarılmamış.
  • Hassas eylemleri olmayan sayfalarda tıklama hırsızlığı.
  • Kimliği doğrulanmamış formlarda veya hassas eylemler içermeyen formlarda Siteler Arası İstek Sahteciliği (CSRF), CSRF oturumunu kapatın.
  • Çalışan bir Proof of Concept olmadan zayıf şifreler veya TLS yapılandırması.
  • Bir saldırı vektörü göstermeden içerik sahteciliği veya ekleme sorunları.
  • Kimlik doğrulaması olmayan uç noktalarda hız sınırlama veya zorlayıcı kuvvet sorunları.
  • Çerezlerde HttpOnly veya Secure bayrakları eksik.
  • Yazılım sürümü açıklaması. Banner tanımlama sorunları. Açıklayıcı hata mesajları veya üstbilgileri (ör. yığın izleri, uygulama veya sunucu hataları).
  • 1 aydan daha kısa bir süredir resmi yamaya sahip olan genel sıfır gün güvenlik açıkları, duruma göre ayrı ayrı ödüllendirilecektir.
  • Sekme yakalama.
  • Kullanıcı varlığı. Kullanıcı, e-posta veya telefon numarası numaralandırma.
  • Parola karmaşıklığı kısıtlamalarının olmaması.

Ödül avcıları

Aşağıda listelenen araştırmacılara katkılarından dolayı içtenlikle teşekkür ederiz.

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague