Şimdi başlat

Hata Ödül programı

Platformumuzda bir güvenlik açığı mı buldunuz? Bize bildirin.

Program hakkında

Platformumuzu geliştirmemize yardımcı olduğunuz için ödül kazanın. Raporlar; hizmetlerimiz, altyapımız ve uygulamalarımızdaki güvenlik açıklarını kapsayabilir.

Site

TradingView.com ve alt alan adlarındaki sorunlar.

Mobil uygulamalar

iOS ve Android platformlarındaki sorunlar.

Grafik Çözümleri 

Araçlarda, widget'larda veya API'lerde hatalar.

Masaüstü uygulaması

Masaüstü uygulamasındaki hatalar veya performans sorunları.

Ödül seviyeleri

Ödülünüz, bildirilen güvenlik açığının türüne ve genel güvenlik etkisine bağlıdır.

  • Uzaktan kod yürütme (RCE) veya yönetici erişimi
  • Yüksek etkili enjeksiyon güvenlik açıkları
  • Yerel dosyalara veya veritabanlarına sınırsız erişim
  • Kullanıcı verilerinin değiştirilmesine veya özel verilere erişilmesine olanak tanıyan kimlik doğrulama atlatması
  • Alt domain devralma
  • Finansal etkiye neden olan mantıksal kusurlar, ör. ücretsiz abonelik elde etmek
  • Kendi kendine XSS hariç siteler arası komut dosyası çalıştırma (XSS)
  • Siteler arası istek sahtekarlığı (CSRF)
  • Kullanıcı itibarı manipülasyonu
  • Düşük etkili enjeksiyon güvenlik açıkları
  • Kullanıcı kısıtlamalarını atlatma

Ödül miktarları değişebilir. Gerçek ödül, hataların ciddiyetine, gerçekliğine ve istismar olasılıklarına, ayrıca ortama ve güvenliği etkileyen diğer faktörlere bağlı olarak değişebilir.

Wiki, Blog vb. yardımcı hizmetlerin güvenlik açıkları ve 'beta', 'staging', 'demo' vb. gibi yayında olmayan ortamların zayıflıkları yalnızca hizmetimizi bir bütün olarak etkilediklerinde veya hassas kullanıcı verilerinde zafiyete neden olabilecekleri takdirde ödüllendirilir.

Kurallar

  1. Hata raporu tespit edilen sistem açığının detaylı açıklaması ve tekrar oluşturmak için takip edilmesi gereken adımları veya çalışan şekilde kavramın ispatını içermelidir. Eğer sistem açığını detaylı bir şekilde açıklamazsanız raporun incelenmesi uzun zaman alabilir ve/veya raporun reddedilmesine neden olabilir.
  2. Etki kanıtlamak için güvenlik açıklarını zincirlemeniz gerekmiyorsa, lütfen rapor başına yalnızca bir güvenlik açığı gönderin.
  3. Yalnızca bilinmeyen bir güvenlik açığını bildiren ilk kişi ödüllendirilecektir. Yinelemeler meydana geldiğinde, yalnızca güvenlik açığı tamamen yeniden oluşturulabiliyorsa ilk raporu ödüllendireceğiz.
  4. Otomatik araçlar ve tarayıcılar kullanılarak hazırlanan güvenlik açıkları raporları göz ardı edilecektir.
  5. Müşteri verileri de dahil olmak üzere hizmetlerimize veya verilerimize zarar verebilecek herhangi bir saldırı gerçekleştirmemelisiniz. DDoS, spam ve kaba kuvvet saldırılarının gerçekleştiği tespit edilirse ödül verilmeyecektir.
  6. Açık izinleri olmadan başka kullanıcıları dahil etmemelisiniz.
  7. Çalışanlarımıza, kullanıcılarımıza veya altyapıya genel olarak sosyal mühendislik, phishing veya fiziksel saldırılar gibi teknik olmayan saldırılar gerçekleştirmemelisiniz.
  8. Lütfen tekrarlanabilir adımlarla ayrıntılı raporlar sağlayın. Rapor, sorunu yeniden oluşturacak kadar ayrıntılı değilse, sorun ödül almaya uygun olmayacaktır.
  9. Bir temel sorunun neden olduğu birden fazla güvenlik açığına bir ödül verilecektir.
  10. Lütfen gizlilik ihlallerini, verilerin yok edilmesini ve hizmetimizin kesintiye uğramasını veya bozulmasını önlemek için iyi niyetle çaba gösterin.

Kapsam dışı güvenlik açıkları

Aşağıdaki sorunlar kapsam dışı kabul edilmektedir.

  • Kullanıcıların yazılımlarındaki güvenlik açıkları veya kullanıcının yazılımına, hesabına/hesaplarına, e-postasına, telefonuna vb. tam erişim gerektiren güvenlik açıkları
  • Üçüncü taraf hizmetlerdeki güvenlik açıkları veya sızıntılar
  • Üçüncü taraf yazılım/protokollerin güvenlik açıkları veya eski sürümleri, eksik koruma ve bir güvenlik tehdidi oluşturmayan en iyi uygulamalardan sapmalar
  • Önemli bir güvenlik etkisi veya istismar olasılığı olmayan güvenlik açıkları
  • Kullanıcının olağan dışı eylemler gerçekleştirmesini gerektiren güvenlik açıkları
  • Herkese açık veya hassas olmayan bilgilerin ifşası
  • Homograf saldırıları
  • Root atılmış, jailbreak yapılmış veya değiştirilmiş cihazlar ve uygulamalar gerektiren güvenlik açıkları
  • Hizmetimizin kesintiye uğramasına yol açabilecek her türlü faaliyet

Ödüllendirilmeyen bu tür güvenlik açıklarına dair birkaç örnek bulunmaktadır.

  • EXIF coğrafi konum verileri temizlenmemiş
  • Hassas işlem içermeyen sayfalarda tıklama sahtekarlığı
  • Kimlik doğrulaması yapılmamış formlarda veya hassas işlem içermeyen formlarda Siteler Arası İstek Sahtekarlığı (CSRF), oturum kapatma CSRF'si
  • Çalışan bir Kavram Kanıtı olmayan zayıf şifrelemeler veya TLS yapılandırması
  • Bir saldırı vektörü göstermeyen içerik sahtekarlığı veya enjeksiyon sorunları
  • Kimlik doğrulama dışı uç noktalarda hız sınırlaması veya kaba kuvvet sorunları
  • Çerezlerde eksik HttpOnly veya Secure bayrakları
  • Yazılım sürümünün ifşası. Afiş tanımlama sorunları. Açıklayıcı hata mesajları veya başlıklar (ör. yığın izleri, uygulama veya sunucu hataları)
  • 1 aydan kısa süredir resmi yaması bulunan herkese açık sıfır gün açıkları, vaka bazında ödüllendirilecektir
  • Tabnabbing
  • Kullanıcı varlığı. Kullanıcı, e-posta veya telefon numarası numaralandırması
  • Parola karmaşıklığı kısıtlamalarının eksikliği