트레이딩뷰
버그 바운티 프로그램

취약점에 대해 알려주시려면 HackerOne을 통해 보고서를 제출해 주시기 바랍니다.

프로그램 스코프

당사 서비스, 인프라 스트럭쳐, 웹 및 모바일 앱에서 다음과 같은 시큐어리티 취약성을 다루는 리포트에 대해 보상해 드립니다:

TradingView.com 및 서브도메인

네이티브 아이오에스 앱

네이티브 앤드로이드 앱

차팅 솔루션

데스크탑 앱

리워드

발견된 취약성 및 보안성 임팩트에 따라 리워드가 결정됩니다. 디테일은 아래에.

하이

당사 전체 플랫폼에 영향을 끼치는 취약성에 대해

리모트 코드 엑시큐션 (RCE)
어드민 액세스 취득
임팩트가 큰 인젝션
로컬 화일 및 데이터베이스 무제한 액세스
서버사이드 리퀘스트 포저리 (SSRF)
크리티컬 인포 공개

미디엄

유저 인터랙션이 필요없고 많은 유저에게 영향을 끼치는 취약성에 대해

임팩트가 큰 스토어드 크로스 사이트 스크립팅 (XSS)
유저 데이터를 바꾸거나 프라이빗 데이터 액세스를 허용하는 인증 바이패스
인시큐어 다이렉트 오브젝트 레퍼런스 (IDOR)
서브도메인 테이크오버

로우

유저 인터랙션이 있어야 하거나 개인 유저에게 영향을 끼치는 취약성에 대해

크로스-사이트 스크립팅 (XSS), 셀프-XSS 는 빼고.
크로스-사이트 리퀘스트 포저리 (CSRF)
URL 리디렉션
유저 레퓨테이션 조작

보상액은 다를 수 있습니다. 실제 보상은 심각성, 진위성 및 버그 부당 이용 가능성 및 환경 그 밖에 보안에 영향을 끼치는 정도에 따라 달라집니다.

위키, 블로그 등의 보조 서비스에 대한 취약성 및 '베타', '스테이징', '데모' 등의 넌-프로덕션 환경에 대한 취약성은 당사 서비스에 전체로써 영향을 끼치거나 또는 민감한 유저 데이터 유출 야기시에 리워드를 해 드립니다.

규정

버그 리포트에는 발견된 취약성에 대한 디테일한 설명 및 재연 절차 또는 증명이 들어 있어야 합니다. 자세한 취약성 정보를 적지 않으면 리포트 리뷰에 많은 시간이 걸리거나 또는 귀하의 리포트가 리젝트될 수도 있습니다.
임팩트를 주기 위해 취약점을 서로 연결해야 하는 경우가 아니면 보고서당 하나의 취약점만 제출하십시오.
알려지지 않은 취약점을 가장 먼저 신고한 사람에게만 보상이 주어집니다. 중복이 발생하면 취약점을 완전히 재현할 수 있는 첫 번째 신고만 보상이 주어집니다.
취약성을 찾아 내기 위해 오토툴이나 스캐너를 써서는 안됩니다. 그러한 리포트는 무시합니다.
당사 서비스나 클라이언트 데이터 등의 데이터를 해칠 수 있는 그 어떠한 공격도 해서는 안됩니다. 디도스, 스팸, 브루트 포스 어택 등은 허용되지 않습니다.
귀하는 명백한 동의없이 다른 유저에 관여해서는 안됩니다.
당사 직원, 유저 또는 인프라 스트럭쳐 등에 대해 소셜 엔지니어링, 피싱 또는 피지컬 어택 등과 같은 비기술적인 어택을 시도해서는 안됩니다.
재현 가능한 단계가 포함된 자세한 보고서를 제공하십시오. 보고서가 문제를 재현할 만큼 충분히 상세하지 않은 경우 보상을 받을 수 없습니다.
하나의 기본 문제로 인해 여러 취약점이 발생하면 하나의 현상금이 수여됩니다.
개인정보 침해, 데이터 파기, 서비스 중단 또는 저하를 방지하기 위해 성실한 노력을 기울이시기 바랍니다.