Commencez

Programme de chasse aux bugs

Vous avez trouvé une vulnérabilité sur notre plateforme? Faites-le-nous savoir.

A propos du programme

Soyez récompensé/e pour nous aider à améliorer notre plateforme. Les rapports peuvent porter sur les failles de sécurité dans nos services, notre infrastructure et nos applications.

Site Web

Problèmes sur TradingView.com et ses sous-domaines.

Apps mobiles

Problèmes sur les plateformes iOS et Android.

Solutions pour la création de graphiques 

Erreurs dans les outils, les widgets ou les API.

App Desktop

Bugs ou problèmes de performance dans l'application desktop.

Niveaux de récompense

Votre récompense dépend du type de vulnérabilité signalée et de son impact global sur la sécurité.

  • Exécution de code à distance (RCE) ou accès administrateur
  • Vulnérabilités d'injection à fort impact
  • Accès illimité aux fichiers locaux ou aux bases de données
  • Contournement de l'authentification permettant la modification des données utilisateur ou l'accès à des données privées
  • Prise de contrôle d'un sous-domaine
  • Failles logiques ayant un impact financier, par exemple obtenir un abonnement gratuit
  • Cross-site scripting (XSS), à l'exclusion du self-XSS
  • Falsification de requête intersite (CSRF)
  • Manipulation de la réputation de l'utilisateur
  • Vulnérabilités d'injection à faible impact
  • Contournement des restrictions utilisateur

Le montant des récompenses peut varier. La récompense réelle peut changer en fonction de la gravité, de l'authenticité et des possibilités d'exploitation des bogues, ainsi que de l'environnement et d'autres facteurs qui affectent la sécurité.

Les vulnérabilités de services auxiliaires tels que Wiki, Blog, etc., ainsi que les vulnérabilités d'environnements non productifs, tels que les versions "bêta", "mise en scène", "démo", etc. ne sont récompensées que lorsqu'elles affectent l'ensemble de notre service ou peuvent générer des fuites de données sensibles.

Règles

  1. Un rapport de bug doit inclure une description détaillée de la vulnérabilité découverte et les étapes à suivre pour la reproduire ou une preuve de concept opérationnelle. Si vous ne décrivez pas les détails de la vulnérabilité, l'examen du rapport peut prendre beaucoup de temps et / ou peut entraîner le rejet de votre rapport.
  2. Veuillez ne soumettre qu'une seule vulnérabilité par rapport, sauf si vous devez enchaîner les vulnérabilités pour produire un impact.
  3. Seule la première personne à signaler une vulnérabilité inconnue sera récompensée. En cas de doublons, nous ne récompenserons le premier rapport que si la vulnérabilité peut être entièrement reproduite.
  4. Vous ne devez pas utiliser d'outils et de scanners automatisés pour rechercher des vulnérabilités, car ces rapports seront ignorés.
  5. Vous ne devez effectuer aucune attaque susceptible d'endommager nos services ou nos données, y compris les données des clients. Si des attaques DDoS, de spam ou par force brute sont détectées, aucune récompense ne sera accordée.
  6. Vous ne devez pas impliquer d’autres utilisateurs sans leur consentement explicite.
  7. Vous ne devez pas effectuer ou essayer de réaliser des attaques non techniques telles que l'ingénierie sociale, le phishing ou des attaques physiques contre nos employés, les utilisateurs ou l'infrastructure en général.
  8. Veuillez fournir des rapports détaillés avec des étapes reproductibles. Si le rapport n'est pas suffisamment détaillé pour reproduire le problème, celui-ci ne pourra pas être récompensé.
  9. Les vulnérabilités multiples causées par un problème sous-jacent seront récompensées par une prime.
  10. Veuillez faire un effort de bonne foi pour éviter les violations de la vie privée, la destruction des données et l'interruption ou la dégradation de notre service.

Vulnérabilités hors champ d'application

Les points suivants sont considérés comme hors champ.

  • Vulnérabilités dans les logiciels de l’utilisateur ou vulnérabilités nécessitant un accès complet aux logiciels, compte/s, emails, téléphones, etc
  • Vulnérabilités ou fuites dans les services tiers
  • Vulnérabilités ou anciennes versions de logiciels/protocoles tiers, protection lacunaire ainsi qu’un écart par rapport aux meilleures pratiques qui ne crée pas de menace pour la sécurité
  • Vulnérabilités sans impact important sur la sécurité ni la possibilité d'exploitation
  • Vulnérabilités qui obligent l'utilisateur à effectuer des actions inhabituelles
  • Divulgation d'informations publiques ou non sensibles
  • Attaques homographes
  • Vulnérabilités nécessitant des dispositifs et des applications enracinés, jailbreakés ou modifiés
  • Toute activité susceptible d'entraîner une perturbation de notre service

Il existe plusieurs exemples de ces vulnérabilités qui ne donnent pas lieu à des récompenses.

  • Données de géolocalisation EXIF non décompactées
  • Clickjacking sur des pages sans actions sensibles
  • Cross-Site Request Forgery (CSRF) sur des formulaires non authentifiés ou des formulaires sans actions sensibles, CSRF de déconnexion
  • Chiffrements faibles ou configuration TLS sans preuve de concept fonctionnelle
  • Problèmes d'usurpation de contenu ou d'injections ne présentant pas de vecteur d'attaque
  • Problèmes liés à la limitation du débit ou à la force brute sur les points de terminaison non authentifiés
  • Absence des drapeaux HttpOnly ou Secure sur les cookies
  • Divulgation de la version du logiciel. Problèmes d'identification des bannières. Messages d'erreur descriptifs ou en-têtes (par exemple, traçages de paquets, erreurs d'application ou de serveur)
  • Les vulnérabilités publiques de type "zero-day" pour lesquelles il existe un correctif officiel depuis moins d'un mois seront récompensées au cas par cas
  • Tabnabbing
  • Existence de l'utilisateur. Enumération de l'utilisateur, de l'email ou du numéro de téléphone
  • Absence de restrictions sur la complexité des mots de passe