Mulai

Program Pencari Bug

Menemukan kerentanan pada platform kami? Beri tahu kami

Tentang program

Dapatkan imbalan karena membantu kami meningkatkan platform kami. Laporan dapat mencakup kerentanan keamanan dalam layanan, infrastruktur, dan aplikasi kami.

Website

Masalah pada TradingView.com dan subdomainnya.

App mobile

Masalah pada platform iOS dan Android.

Solusi charting 

Error pada peralatan, widget, atau API.

App desktop

Bug atau masalah performa pada aplikasi desktop.

Level imbalan

Imbalan Anda bergantung pada jenis kerentanan yang dilaporkan dan dampak keamanannya secara keseluruhan.

  • Eksekusi kode jarak jauh (RCE) atau akses administrator
  • Kerentanan injeksi berdampak tinggi
  • Akses tak terbatas menuju file atau database lokal
  • Melewati proses autentikasi memungkinkan modifikasi data pengguna atau akses ke data pribadi
  • Pengambilalihan subdomain
  • Cacat logika yang menyebabkan dampak finansial, misal: mendapatkan langganan secara gratis
  • Skrip lintas situs (XSS), tidak termasuk self-XSS
  • Cross-site request forgery (CSRF)
  • Manipulasi reputasi pengguna
  • Kerentanan injeksi berdampak rendah
  • Melewati pembatasan pengguna

Jumlah imbalan dapat bervariasi. Hadiah sebenarnya dapat berubah tergantung pada tingkat keparahan, keaslian, dan kemungkinan eksploitasi bug, serta lingkungan dan faktor lain yang mempengaruhi keamanan.

Kerentanan akan layanan tambahan seperti Wiki, Blog, dll. dan kerentanan lingkungan non-produksi seperti 'beta', 'staging', 'demo' dll. akan dihargai apabila kerentanan tersebut mempengaruhi layanan kami secara keseluruhan atau dapat menyebabkan kebocoran data pengguna yang sensitif.

Peraturan

  1. Sebuah laporan bug harus disertai dengan deskripsi yang lengkap dari kerentanan yang ditemukan serta tahapan yang perlu diambil untuk dapat mengulanginya kembali atau sebuah konsep bukti yang nyata. Jika anda tidak mendeskripsikan kerentanan tersebut secara detail maka dibutuhkan waktu yang cukup lama untuk mengulas laporan dan/atau dapat berujung kepada penolakan dari laporan anda.
  2. Harap untuk mengirimkan satu kerentanan per laporannya, kecuali jika anda perlu mengaitkan kerentanannya untuk menjabarkan dampaknya.
  3. Hanya orang yang pertama kali melaporkan kerentanan yang tidak diketahui yang akan diberi imbalan. Ketika duplikasi terjadi, kami hanya akan memberikan imbalan pada laporan pertama jika kerentanan tersebut dapat direproduksi sepenuhnya.
  4. Anda tidak diperkenankan menggunakan alat dan pemindai otomatis untuk menemukan kerentanan. Laporan semacam itu akan kami abaikan.
  5. Anda tidak boleh melakukan serangan apa pun yang dapat merusak layanan atau data kami, termasuk data klien. Jika ditemukan bahwa telah terjadi serangan DDoS, spam, dan brute force, imbalan tidak akan diberikan.
  6. Anda tidak diperkenankan melibatkan pengguna lain tanpa persetujuan secara eksplisit. Buatlah ide, skrip atau konten lain yang bersifat pribadi saat pengujiannya.
  7. Anda tidak diperkenankan melakukan atau mencoba melakukan serangan non-teknis seperti rekayasa sosial (cth. phishing, vishing, smishing) atau serangan fisik terhadap karyawan, pengguna, atau infrastruktur kami pada umumnya.
  8. Harap memberikan laporan detail dengan langkah-langkah yang dapat direproduksi. Jika laporan tidak cukup detail untuk mereproduksi permasalahan tersebut, maka permasalahan ini tidak akan memenuhi syarat untuk mendapatkan imbalan.
  9. Beberapa kerentanan yang disebabkan oleh satu permasalahan mendasar akan akan mendapatkan satu kali imbalan.
  10. Harap melakukan upaya itikad baik untuk menghindari pelanggaran privasi, perusakan data, dan gangguan atau penurunan layanan kami.

Kerentanan di luar cakupan

Isu-isu berikut dianggap di luar cakupan.

  • Kerentanan dalam perangkat lunak pengguna atau kerentanan yang memerlukan akses penuh ke perangkat lunak, akun, email, telepon pengguna dll.
  • Kerentanan atau kebocoran pada layanan pihak ketiga
  • Kerentanan atau versi lama dari perangkat lunak/protokol pihak ketiga, perlindungan yang terlewatkan serta penyimpangan dari praktik terbaik yang tidak menciptakan ancaman keamanan
  • Kerentanan tanpa dampak keamanan substansial atau kemungkinan eksploitasi
  • Kerentanan yang mengharuskan pengguna untuk melakukan tindakan yang tidak biasa
  • Pengungkapan informasi publik atau non-sensitif
  • Serangan homograf
  • Kerentanan yang memerlukan perangkat dan aplikasi yang di-rooting, di-jailbreak atau dimodifikasi
  • Setiap aktivitas yang dapat meyebabkan gangguan pada layanan kami

Terdapat beberapa contoh kerentanan yang tidak akan diberikan imbalan

  • Data geolokasi EXIF ​​belum dilepaskan
  • Clickjacking pada halaman tanpa mengandung tindakan sensitif
  • Pemalsuan Permintaan Lintas Situs/Cross-Site Request Forgery (CSRF) pada formulir yang tidak diautentikasi atau formulir tanpa tindakan sensitif, keluar dari CSRF
  • Cipher atau konfigurasi TLS yang lemah tanpa Bukti Konsep/Proof of Concept yang bekerja
  • Spoofing atau injeksi konten tanpa menampilkan suatu vektor serangan
  • Isu pembatasan rate atau pemaksaan/brute force pada endpoint non-autentikasi
  • HttpOnly atau Secure flags yang hilang pada cookie
  • Pengungkapan versi perangkat lunak. Isu identifikasi banner. Pesan atau header error deskriptif (mis. stack trace, error aplikasi atau server)
  • Kerentanan zero-day publik yang telah memiliki patch resmi selama kurang dari 1 bulan akan diberikan imbalan berdasarkan kasus per kasus
  • Tabnabbing
  • Keberadaan pengguna. Enumerasi pengguna, email atau nomor telepon
  • Kurangnya batasan kompleksitas kata sandi