Richtlinie zur Offenlegung von Sicherheitslücken
1. Einführung
2. Allgemeine Geschäftsbedingungen
3. Belohnungen
4. Feedback und Vorschläge
5. Fingerabdruck des öffentlichen PGP-Schlüssels
Die Trading Point Group („Trading Point“) ist dem Schutz der Sicherheit ihrer Kunden und ihrer Daten verpflichtet und legt daher großen Wert auf den Aufbau von Partnerschaften mit der Internet-Sicherheitsgemeinschaft, um gemeinsam Lösungen und Anwendungen zu entwickeln, die Sicherheit gewährleisten. Die Richtlinie zur Offenlegung von Sicherheitslücken soll alle Internet-Sicherheitsforscher und -Tester ermutigen, bei der Suche und Entdeckung von Schwachstellen oder anderen Sicherheitsproblemen mitzuhelfen und uns zeitnah klares Feedback zu übermitteln.
Jeder, der Schwachstellen oder andere Sicherheitsprobleme im Zusammenhang mit dem Trading Point-System entdeckt, kann uns jederzeit Feedback geben. Diese Richtlinie beschreibt Definitionen von Unternehmenssystemen und Arten von Marktanalysen sowie Schritte zum Einreichen eines Sicherheitslückenberichts.
Alle Bedingungen dieser Richtlinie gelten für alle eingereichten Sicherheitslückenberichte. Wenn Sicherheitsforschungstester sich dafür entscheiden, einen Sicherheitslückenbericht an Trading Point zu übermitteln, bestätigen sie, dass sie alle relevanten Bedingungen und Konditionen im Detail gelesen haben und sich damit einverstanden erklären.
2.1 Safe Harbor/Autorisierung
Wenn Sie Sicherheitslücken recherchieren, testen und melden, verspricht unser Unternehmen außerdem:
Wir werden Ihre Forschungstests nicht berücksichtigen oder rechtliche Schritte dagegen einleiten, solange Ihre Forschungstests durch geltende Anti-Hacking-Vorschriften genehmigt sind.
Solange Ihre Forschungstests durch ein Antiumgehungsgesetz genehmigt sind, haben wir keinen Anspruch gegen Sie wegen Störung der technischen Kontrolle.
sind legal, werden mit Integrität durchgeführt und sind darauf ausgelegt, die allgemeine Sicherheit des Internets zu verbessern.
Sie müssen alle geltenden Vorschriften einhalten. Wenn Sie die Bedingungen dieser Richtlinie befolgen und in gutem Glauben Forschungs- und Testaktivitäten durchführen und ein Dritter rechtliche Schritte gegen Sie einleitet, werden wir die Genehmigung bekannt geben.
Wenn Sie irgendwelche Zweifel haben oder sich nicht sicher sind, ob Ihre Forschung und Tests zu Sicherheitslücken den Bedingungen und Vorschriften dieser Richtlinie entsprechen, können Sie sich jederzeit über offizielle Kanäle (wie unten beschrieben) beraten lassen, bevor Sie mit der Forschung und Tests fortfahren.
Bitte beachten Sie, dass der Safe Harbor nur für Organisationen gilt, die sich zur Einhaltung dieser Richtlinie verpflichten, und nicht für unabhängige Dritte gilt.
2.2 Richtlinien
Wie in dieser Richtlinie definiert, sind die von Ihnen durchgeführten „Forschungsaktivitäten“:
Bitte benachrichtigen Sie uns unverzüglich über bestehende oder potenzielle Sicherheitslücken, die im Rahmen unserer Forschungs- und Testaktivitäten entdeckt wurden.
Arbeiten Sie während der Forschungs- und Testaktivitäten daran, die Privatsphäre zu verletzen, die Benutzererfahrung zu beeinträchtigen, Produktionssysteme zu stören und Daten zu beschädigen oder böswillig zu manipulieren.
Sicherheitslücken werden bei Forschungs- und Testaktivitäten nur in dem Umfang genutzt, der zur Bestätigung und zum Nachweis der Existenz der Sicherheitslücke erforderlich ist. Missbrauchen Sie Schwachstellen nicht, um Daten zu zerstören oder preiszugeben, versäumen Sie es, eine dauerhaft ausführbare Befehlszeilenschnittstelle einzurichten und/oder missbrauchen Sie Schwachstellen nicht, um zu Systemen Dritter zu führen.
In der Zwischenzeit müssen Sie die folgenden Richtlinien einhalten:
Befolgen Sie alle relevanten Regeln, einschließlich der Einhaltung dieser Richtlinie und aller anderen relevanten Vereinbarungen. Im Falle von Widersprüchen oder Konflikten zwischen dieser Richtlinie und anderen anwendbaren Bestimmungen haben die Bestimmungen dieser Richtlinie Vorrang.
Der interaktive Vorgang ist auf Ihr Testkonto beschränkt.
Jede Prüfung auf Sicherheitslücken ist auf die Erstellung von maximal zwei (2) Konten beschränkt.
Melden und/oder offenbaren Sie uns Informationen zu Sicherheitslücken nur über offizielle Kanäle.
Pro Meldung kann nur eine Schwachstelle eingereicht werden, es sei denn, es handelt sich um eine Reihe miteinander verbundener Schwachstellen, bei denen nachgewiesen werden muss, wie sie sich gegenseitig beeinflussen.
Alle Daten aus dem Studientestzeitraum werden nach Einreichung des Berichts unverzüglich und auf sichere und vertrauliche Weise gelöscht.
Beschränken Sie Tests auf Systeme im Geltungsbereich der Vorschriften und respektieren Sie Systeme und Aktivitäten außerhalb des Geltungsbereichs der Vorschriften.
Vermeiden Sie den Einsatz äußerst aufdringlicher und/oder automatisierter Scanner zur Suche nach Sicherheitslücken.
Ohne die vorherige schriftliche Zustimmung von Trading Point dürfen keine Sicherheitslücken öffentlich diskutiert oder offengelegt werden.
Führen Sie niemals „Denial-of-Service“-Angriffe auf Netzwerkebene durch.
Führen Sie niemals Social-Engineering-Tests und/oder physische Sicherheitsangriffe auf Büros, Benutzer und/oder Mitarbeiter von Trading Point durch.
Führen Sie niemals automatisierte Tests/Testskripte in Online-Formularen durch, insbesondere im Kontaktformular zur Kontaktaufnahme mit dem Kundendienstteam.
Wenn Sie eine Sicherheitsverletzung bestätigt haben oder wenn Sie versehentlich vertrauliche sensible Daten entdecken (einschließlich persönlich identifizierbarer Informationen (PII), Finanzinformationen, geschützter Informationen oder Geschäftsgeheimnissen einer Partei), müssen Sie die Tests sofort beenden, uns unverzüglich benachrichtigen und Geben Sie diese Daten nicht an Dritte weiter. Gleichzeitig müssen Sie einen „Proof of Concept“ durchführen und minimale Daten verwenden, um die Existenz dieser Schwachstelle effektiv nachzuweisen.
2.3 Sicherheitslücken melden / offizielle Kanäle
Sie können Berichte über bestehende und/oder potenzielle Sicherheitslücken, die Sie entdeckt haben, einreichen und alle relevanten Informationen bereitstellen, indem Sie eine E-Mail an vulnerability.disclosure@xmglobal.com senden. Je detailliertere Informationen Sie bereitstellen, desto detailliertere Informationen helfen uns bei der Einstufung und Behebung des Problems.
Um uns dabei zu helfen, die Klassifizierung zu überprüfen und die Berichtspriorität zu ermitteln, empfehlen wir Ihnen, dass Ihr Bericht:
Beschreiben Sie den Ort oder das Anwendungsproblem, an dem die Schwachstelle gefunden wurde, und die möglichen Auswirkungen, die missbraucht werden könnten.
Geben Sie detaillierte Schritte und Beschreibungen an, die erforderlich sind, um die Schwachstelle vollständig zu reproduzieren (einschließlich der Bereitstellung von Proof-of-Concept-Skripten oder Screenshots).
Versuchen Sie, so viele Details wie möglich anzugeben.
Bitte geben Sie die IP-Adresse, die E-Mail-Adresse, den Benutzer/Agenten an, den Sie zum Testen der Schwachstelle verwendet haben, und den in der Handelsplattform verwendeten Benutzernamen (falls vorhanden).
Wenn möglich, reichen Sie den Bericht bitte in englischer Sprache ein.
Wenn Sie feststellen, dass es sich hierbei um eine kritische Sicherheitslücke handelt oder vertrauliche sensible Informationen enthält, können Sie unser Team kontaktieren, indem Sie eine PGP-verschlüsselte E-Mail mit unserem PGP-Schlüssel senden.
2.4 Geltungsbereich
a) In-Scope-Systeme/Dienste
Web-Domain-Name
https://www.xmforexcn.com
https://xmforexcn.com
Android-Android-Anwendung
XM-Android-App (com.xm.webapp)
iOS-App
XM iOS-App (id1072084799)
2) Systeme/Dienste außerhalb des Geltungsbereichs
Alle Dienste (z. B. verwandte Dienste), Systeme oder Domänennamen, die nicht ausdrücklich in den oben genannten „Systemen/Diensten innerhalb des Geltungsbereichs“ aufgeführt sind, sind Systeme/Dienste außerhalb des Geltungsbereichs, und unser Unternehmen genehmigt keine Tests. Wenn Sie außerdem Schwachstellen in den Systemen unseres Anbieters entdecken, die nicht in den Geltungsbereich dieser Richtlinie fallen, melden Sie diese bitte direkt an diesen Anbieter gemäß der Offenlegungsrichtlinie dieses Anbieters (falls vorhanden). Wenn Sie sich nicht sicher sind, ob ein System in den Geltungsbereich fällt, kontaktieren Sie uns bitte unter vulnerability.disclosure@xmglobal.com.
3) Sicherheitslücken im Geltungsbereich
SQL-Injection-Angriff
Cross-Site-Scripting-Angriff (XSS-Angriff)
Sicherheitslücke zur Remotecodeausführung (RCE)
Serverseitige Anforderungsfälschung (SSRF)
Schwachstellen bei defekter Authentifizierung und Sitzungsverwaltung
Sicherheitslücke bezüglich unsicherer direkter Objektreferenzen (IDOR)
Offenlegung vertraulicher und sensibler Informationen
Sicherheitslücke bei der Verzeichnis-/Pfadüberquerung
Sicherheitslücke beim Einbinden lokaler/entfernter Dateien
Hochwirksame Cross-Site-Request-Forgery (CSRF)
Offene Weiterleitung zur Schwachstelle „Vertrauliche sensible Parameter“.
Sicherheitslücke beim Subdomain-Hijacking (normalerweise postet der Angreifer beim Auftreten eines Subdomain-Hijacking-Problems eine freundliche Nachricht, z. B.: „Die Website wird gewartet und wird so schnell wie möglich wieder in den Normalzustand zurückversetzt.“)
4) Sicherheitslücken außerhalb des Geltungsbereichs
Diese Richtlinie zur Offenlegung von Sicherheitslücken deckt bestimmte Sicherheitslücken nicht ab. Zu diesen Sicherheitslücken, die über den Geltungsbereich hinausgehen, gehören unter anderem:
Probleme bei der Konfiguration des E-Mail-Systems, einschließlich des SPF-E-Mail-Verifizierungsmechanismus, der DKIM-E-Mail-Identifizierungsmethode und der Einstellungen des DMARC-E-Mail-Verifizierungssystems
Verursacht kein Clickjacking vertraulicher und sensibler Vorgänge, wie z. B. das Ändern von Konten
Self-XSS-Cross-Site-Scripting-Angriffe (z. B. bringt ein Angreifer einen Benutzer dazu, Code in einen persönlichen Webbrowser einzuschleusen)
Content-Spoofing-Angriffe mit minimaler Wirkung (z. B. Nicht-HTML-Text-Injection-Angriffe)
Erstellen Sie Cross-Site Request Forgery (CSRF) mit minimalen Auswirkungen (z. B. CSRF für Anmelde- oder Abmeldeformulare).
Offene Weiterleitungen (sofern keine anderen Sicherheitsauswirkungen nachgewiesen werden können)
Minimal Impact Carriage Return Line Feed (CRLF)-Injektionsschwachstelle
Schwachstelle durch Host-Header-Injection-Angriff mit minimaler Auswirkung
Nicht vertrauliches, sensibles Cookie mit fehlendem HttpOnly-Attribut oder Sicherheitslücke in der Identität
Die Konfiguration des Sicherheitsprotokolls für die Übertragungsverschlüsselung von SSL/TLS erzielt nicht den optimalen Konfigurationseffekt.
Fehlende oder falsch konfigurierte HTTP-Sicherheitsheader. Zum Beispiel Content Security Policy (CSP), HTTP Strict Transport Security (HSTS)
Dem Captcha-System fehlt die Kontrolle über den Bestätigungscode
Aufzählung von Benutzernamen/E-Mails aufgrund eines Fehlers auf der Anmeldeseite
Fehler beim Aufzählen von Benutzernamen/E-Mails aufgrund vergessenen Passworts
Benutzer müssen nicht miteinander interagieren
Passwortkomplexität oder andere Probleme im Zusammenhang mit einem Konto und/oder Passwortrichtlinien
Problem wegen unzureichender Sitzungszeitüberschreitung
Brute-Force-Passwort-Angriff
Ratenbegrenzungsprobleme für unkritische Vorgänge
WordPress-Sicherheitslücke Mangel an Beweisen zur Ausnutzbarkeit
Offenlegung von Sicherheitslücken in Softwareversionen, für die es keine verwertbaren Beweise gibt
Jede Aktivität, die zu einer Dienstunterbrechung (DoS) führen kann
Fehlen/Umgehen des Root-Schutzsystems (Anwendung)
Problem mit fehlendem/umgangenem SSL-Zertifikat-Pinning (Anwendung)
Fehlende Code-Verschleierung (Anwendung)
2.5 Reaktionszeit
Trading Point hält sich an den Grundsatz der Offenheit und Transparenz und verpflichtet sich im Rahmen seiner Möglichkeiten zur Koordinierung mit Forschern aller Programme zur Offenlegung von Sicherheitslücken innerhalb der folgenden Reaktionszeiten:
Wir antworten zunächst innerhalb von drei (3) Werktagen (ab dem Zeitpunkt der Einreichung des Berichts) mit einer ersten Bestätigung, dass Ihr Bericht eingegangen ist.
Inspektion und Klassifizierung innerhalb von fünf (5) Werktagen (ab Einreichung des Berichts)
Wir werden Sie so offen und transparent wie möglich über den gesamten Verlauf des Vorfalls informieren, einschließlich der Bestätigung der Existenz der Sicherheitslücke, der Erläuterung der Schritte, die wir während des Reparaturprozesses unternommen haben, und der Frage, ob es Probleme oder besondere Umstände gibt, die dazu führen könnten Verzögerungen.
Wir schätzen und schätzen jeden, der sich die Zeit und Mühe nimmt, eine Sicherheitslücke im Einklang mit dieser Richtlinie zu melden. Wir bieten derzeit keine Belohnungen für die Offenlegung von Sicherheitslücken an, dies kann jedoch in Zukunft angepasst werden.
Wenn Sie Feedback oder Vorschläge zu dieser Richtlinie zur Offenlegung von Sicherheitslücken haben, kontaktieren Sie uns bitte unter vulnerability.disclosure@xmglobal.com.
Trading Point dankt Ihnen für Ihre Unterstützung bei der Aufrechterhaltung der allgemeinen Cybersicherheit für das Unternehmen und alle Benutzer.
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Laden Sie den PGP-Schlüssel „Trading Point Security Vulnerability Disclosure“ herunter
Erinnerung: Verwenden Sie beim Verschlüsseln von Nachrichten sowohl den oben genannten PGP-Schlüssel als auch Ihren persönlichen Schlüssel.