TradingView
バグバウンティ・プログラム
脆弱性に関心がある場合は、HackerOne経由でレポートを提出してください。
プログラムの範囲
以下の様な当社サービス、インフラ、アプリケーションのセキュリティ脆弱性に関するレポートに対して報酬を提供します:
報酬
報酬は発見されたセキュリティ脆弱性とその脆弱性がセキュリティに及ぼす影響に依存します。詳細は以下をご覧ください。
高
当社サービス全体に影響する脆弱性の場合
- リモードコード実行 (RCE)
- 管理者アクセスの獲得
- 重大な影響を与えるインジェクション
- ローカルファイルまたはデータベースへの無制限アクセス
- サーバーサイドリクエストフォージェリ (SSRF)
- 重大な情報の開示
中
ユーザーの操作を必要とせず、多くのユーザーに影響を及ぼす脆弱性の場合
- 重大な影響を与えるストアドクロスサイトスクリプティング (XSS)
- ユーザーデータの変更またはプライベートデータへのアクセスが可能な認証バイパス
- 安全でないオブジェクト直接参照 (IDOR)
- サブドメインの乗っ取り
低
ユーザーの操作を必要とする、もしくは個々のユーザーに影響を及ぼす脆弱性の場合
- セルフXSSを除くクロスサイトスクリプティング (XSS)
- クロスサイトリクエストフォージェリ (CSRF)
- URLリダイレクト
- ユーザー評価の操作
報酬額は異なる可能性がある事にご注意ください。実際の報酬はバグの深刻度、真正度、悪用の可能性の他、セキュリティに影響を与える環境やその他の要因によって大きく変わる場合があります。
ブログなどの補助的サービスの脆弱性や「ベータ」、「ステージング」、「デモ」などの本番環境以外の脆弱性は、当社のサービス全体に影響を与える場合、または機密性の高いユーザーデータの漏洩を引き起こす可能性がある場合でのみ報酬の対象となります。
規約
- バグレポートには、発見された脆弱性の詳細な説明と、それを再現するために必要な手順、または動作のPoCを含める必要があります。脆弱性の詳細が説明されていない場合、レポートの確認に時間を要するか、レポートが拒否される可能性があります。
- 影響を及ぼす為に脆弱性を連鎖させる必要がある場合を除き、1つのレポートにつき1つの脆弱性を提出してください。
- 未知の脆弱性を最初に報告した人だけが報酬対象となります。報告が重複した場合、その脆弱性が完全に再現できる最初の報告者のみ対象となります。
- 自動化ツールやスキャナーを利用して脆弱性の発見を行わないで下さい。そうしたレポートは却下されます。
- 当社のサービスや顧客のデータを含むデータに損害を与える可能性のある攻撃は行わないでください。DDoS、スパム、ブルートフォースアタックは許可されていません。
- 明確な同意なしに他のユーザーを巻き込まないで下さい。テスト中ではプライベートなアイデア、スクリプト、その他のコンテンツを作成して下さい。
- ソーシャルエンジニアリング(例. フィッシング、ビッシング、スミッシング)または当社の従業員、ユーザー、インフラに対する物理的攻撃など、テクニカル的でない攻撃を実行したり、試みようとしないでください。
- 再現可能な手順で詳細なレポートを提供してください。問題が再現できる詳細なレポートでない場合、報酬の対象外となります。
- 1つの根本的な問題によって引き起こされた複数の脆弱性は、1件の報奨対象となります。
- プライバシーの侵害、データの破壊、サービスの中断や機能低下などを避ける為、誠実なご協力をお願い致します。
対象外の脆弱性
以下の事項は対象外となります:
- ユーザーのソフトウェアの脆弱性、またはユーザーのソフトウェア、アカウント、Eメール、電話等へのフルアクセスを必要とする脆弱性。
- サードパーティサービスの脆弱性や漏洩。
- 脆弱性や古いバージョンのサードパーティソフトウェア/プロトコルの保護の欠如、及びセキュリティの脅威を引き起こさないベストプラクティスからの逸脱。
- 実在のセキュリティへの影響や悪用の可能性がない脆弱性。
- 通常とは異なる操作をユーザーに要求する脆弱性。
- 公開または機密性の高くない情報の開示。
- ホモグラフ攻撃。
- root化やジェイルブレイク、カスタマイズされたデバイスやアプリケーションを必要とする脆弱性。
- 当社サービスの停止につながる可能性のある行為。
報酬対象にならない脆弱性の例です:
- EXIFの位置情報データが除去されていないケース。
- 機密性の高いアクションがないページでのクリックジャッキング。
- 認証のないフォームまたは機密性の高いアクションを伴わないフォームでのクロスサイトリクエストフォージェリ (CSRF)、ログアウトCSRF。
- PoCが機能していない弱い暗号またはTLSの設定。
- 攻撃経路を示さないコンテンツのスプーフィングやインジェクションの問題。
- 非認証エンドポイントでのレート制限またはブルートフォースの問題。
- CookieにHttpOnlyまたはSecureフラグが含まれていないケース。
- ソフトウェアのバージョン開示。バナー識別の問題。説明的なエラーメッセージまたはヘッダー(例. スタックトレース、アプリケーションまたはサーバーエラー)。
- 公式パッチが提供されて1ヶ月未満のパブリックなゼロデイ脆弱性については、ケースバイケースで認定されます。
- タブナビング。
- ユーザーの存在性。ユーザー、電子メールまたは電話番号の列挙。
- パスワードの複雑さの制限の欠如。
バウンティハンター
以下の研究者の方の貢献に心より感謝致します。
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh