트레이딩뷰

버그 바운티 프로그램

취약점에 대해 알려주시려면 HackerOne을 통해 보고서를 제출해 주시기 바랍니다.

프로그램 스코프

당사 서비스, 인프라 스트럭쳐, 웹 및 모바일 앱에서 다음과 같은 시큐어리티 취약성을 다루는 리포트에 대해 보상해 드립니다:

TradingView.com 및 서브도메인

네이티브 아이오에스 앱

네이티브 앤드로이드 앱

차팅 솔루션

데스크탑 앱

리워드

발견된 취약성 및 보안성 임팩트에 따라 리워드가 결정됩니다. 디테일은 아래에.

하이

당사 전체 플랫폼에 영향을 끼치는 취약성에 대해

  • 리모트 코드 엑시큐션 (RCE)
  • 어드민 액세스 취득
  • 임팩트가 큰 인젝션
  • 로컬 화일 및 데이터베이스 무제한 액세스
  • 서버사이드 리퀘스트 포저리 (SSRF)
  • 크리티컬 인포 공개

미디엄

유저 인터랙션이 필요없고 많은 유저에게 영향을 끼치는 취약성에 대해

  • 임팩트가 큰 스토어드 크로스 사이트 스크립팅 (XSS)
  • 유저 데이터를 바꾸거나 프라이빗 데이터 액세스를 허용하는 인증 바이패스
  • 인시큐어 다이렉트 오브젝트 레퍼런스 (IDOR)
  • 서브도메인 테이크오버

로우

유저 인터랙션이 있어야 하거나 개인 유저에게 영향을 끼치는 취약성에 대해

  • 크로스-사이트 스크립팅 (XSS), 셀프-XSS 는 빼고.
  • 크로스-사이트 리퀘스트 포저리 (CSRF)
  • URL 리디렉션
  • 유저 레퓨테이션 조작

보상액은 다를 수 있습니다. 실제 보상은 심각성, 진위성 및 버그 부당 이용 가능성 및 환경 그 밖에 보안에 영향을 끼치는 정도에 따라 달라집니다.

위키, 블로그 등의 보조 서비스에 대한 취약성 및 '베타', '스테이징', '데모' 등의 넌-프로덕션 환경에 대한 취약성은 당사 서비스에 전체로써 영향을 끼치거나 또는 민감한 유저 데이터 유출 야기시에 리워드를 해 드립니다.

규정

  1. 버그 리포트에는 발견된 취약성에 대한 디테일한 설명 및 재연 절차 또는 증명이 들어 있어야 합니다. 자세한 취약성 정보를 적지 않으면 리포트 리뷰에 많은 시간이 걸리거나 또는 귀하의 리포트가 리젝트될 수도 있습니다.
  2. 임팩트를 주기 위해 취약점을 서로 연결해야 하는 경우가 아니면 보고서당 하나의 취약점만 제출하십시오.
  3. 알려지지 않은 취약점을 가장 먼저 신고한 사람에게만 보상이 주어집니다. 중복이 발생하면 취약점을 완전히 재현할 수 있는 첫 번째 신고만 보상이 주어집니다.
  4. 취약성을 찾아 내기 위해 오토툴이나 스캐너를 써서는 안됩니다. 그러한 리포트는 무시합니다.
  5. 당사 서비스나 클라이언트 데이터 등의 데이터를 해칠 수 있는 그 어떠한 공격도 해서는 안됩니다. 디도스, 스팸, 브루트 포스 어택 등은 허용되지 않습니다.
  6. 귀하는 명백한 동의없이 다른 유저에 관여해서는 안됩니다.
  7. 당사 직원, 유저 또는 인프라 스트럭쳐 등에 대해 소셜 엔지니어링, 피싱 또는 피지컬 어택 등과 같은 비기술적인 어택을 시도해서는 안됩니다.
  8. 재현 가능한 단계가 포함된 자세한 보고서를 제공하십시오. 보고서가 문제를 재현할 만큼 충분히 상세하지 않은 경우 보상을 받을 수 없습니다.
  9. 하나의 기본 문제로 인해 여러 취약점이 발생하면 하나의 현상금이 수여됩니다.
  10. 개인정보 침해, 데이터 파기, 서비스 중단 또는 저하를 방지하기 위해 성실한 노력을 기울이시기 바랍니다.

범위를 벗어난 취약점

다음 문제는 범위를 벗어난 것으로 간주됩니다:

  • 유저 소프트웨어 취약성이나 유저 소프트웨어, 어카운트, 이메일, 폰 등에 대하여 풀 액세스를 필요로 하는 취약성;
  • 써드 파티 서비스의 취약성이나 리크;
  • 써드 파트 소프트웨어/프로토콜, 놓친 프로텍션 및 보안 위협을 만들어 내지 않는 베스트 프랙티스를 벗어남으로 인한 취약성;
  • 별다른 보안 임팩트나 부당 이용 가능성이 없는 취약성;
  • 유저가 비상식적인 액션을 해야 나오는 취약성;
  • 퍼블릭 또는 넌센시티브 인포 노출;
  • 호모그래프 (동형이의어) 어택;
  • 악성코드가 심겨졌거나, jailbroken 또는 modified 디바이스 및 애플리케이션을 필요로 하는 취약성.
  • 서비스 중단으로 이어질 수 있는 모든 활동.

보상을 받지 못하는 이러한 취약점의 몇 가지 예가 있습니다:

  • EXIF 지리적 위치 데이터가 제거되지 않았습니다.
  • 민감한 작업이 없는 페이지에 대한 클릭재킹.
  • 인증되지 않은 양식 또는 민감한 작업이 없는 양식에 대한 CSRF(교차 사이트 요청 위조)는 CSRF에서 로그아웃하십시오.
  • 개념 증명이 작동하지 않는 약한 암호 또는 TLS 구성.
  • 공격 벡터를 표시하지 않는 콘텐츠 스푸핑 또는 인젝션 이슈.
  • 비인증 엔드포인트에 대한 레이트 리미팅 또는 브루트 포스 이슈.
  • 쿠키에 HttpOnly 또는 Secure 플래그가 없습니다.
  • 소프트웨어 버전 공개. 배너 식별 문제. 설명 오류 메시지 또는 헤더(예: 스택 트레이스, 애플리케이션 또는 서버 에러).
  • 공식 패치가 적용된 지 1개월 미만인 공개 제로데이 취약점은 사례별로 수여됩니다.
  • 탭내빙.
  • 사용자 존재. 사용자, 이메일 또는 전화 번호 열거.
  • 암호 복잡성 제한이 없습니다.

바운티 헌터즈 (Bounty Hunters)

밑의 리스트에 포함된 모든 연구원 분들의 헌신에 감사를 표합니다.

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague