XMセキュリティ脆弱性開示ポリシー
1. はじめに
2. 利用規約
3. 報酬
4. フィードバックと提案
5. PGP公開鍵のフィンガープリント
Trading Point Group (「Trading Point」) は、顧客とそのデータのセキュリティの保護に取り組んでおり、インターネット セキュリティ コミュニティとのパートナーシップを確立して、セキュリティを確保するソリューションとアプリケーションを共同で作成することを非常に重要視しています。セキュリティ脆弱性開示ポリシーは、すべてのインターネット セキュリティ研究者およびテスターが脆弱性やその他のセキュリティ問題の発見に協力し、タイムリーに明確なフィードバックを当社に送信することを奨励するように設計されています。
Trading Point システムに関連する脆弱性やその他のセキュリティ問題を発見した場合は、いつでもフィードバックを提供してください。このポリシーでは、企業システムの定義と市場分析の種類、およびセキュリティ脆弱性レポートの提出方法の手順について概要を説明します。
このポリシーのすべての条件は、提出されたすべてのセキュリティ脆弱性レポートに適用されます。セキュリティ調査テスターがTrading Pointにセキュリティ脆弱性レポートを送信することを選択した場合、彼らは詳細を読み、関連するすべての条件を遵守することに同意したものとみなされます。
セキュリティの脆弱性を調査、テスト、報告する場合、誠実性の原則を遵守し、このポリシーの条件と規制に従う限り、当社は次のことも約束します。
お客様のリサーチ テストが該当するハッキング防止規制によって許可されている限り、当社はお客様のリサーチ テストに対して検討したり、法的措置を講じたりすることはありません。
お客様の研究試験が回避法によって許可されている限り、当社は技術的管理を妨害したとしてお客様に対していかなる請求も行いません。
これらは合法であり、誠実に実行され、インターネット全体のセキュリティを向上させるように設計されています。
適用されるすべての規制を遵守する必要があります。あなたがこのポリシーの利用規約に従い、誠意を持って調査およびテスト活動を実施し、第三者があなたに対して法的措置を開始した場合、当社は認可を発表します。
セキュリティ脆弱性の調査とテストがこのポリシーの条件に準拠しているかどうか疑問がある場合、または確信が持てない場合は、調査とテストを続行する前に、公式チャネル (後述) を通じていつでも相談できます。
セーフハーバーは、このポリシーに従うことに同意する組織にのみ適用され、独立した第三者には適用されないことに注意してください。
このポリシーで定義されているように、あなたが実行する「研究」活動は次のとおりです。
当社の調査およびテスト活動中に既存のまたは潜在的なセキュリティ脆弱性が発見された場合は、直ちに当社に通知してください。
研究およびテスト活動中は、プライバシーの侵害、ユーザー エクスペリエンスの低下、運用システムへの干渉、データの破損または悪意のある操作を回避するように努めてください。
セキュリティ脆弱性は、研究およびテスト活動中に、セキュリティ脆弱性の存在を確認および証明するために必要な範囲でのみ使用されます。脆弱性を悪用してデータを破壊または漏洩したり、持続的に実行可能なコマンド ライン インターフェイスを確立できなかったり、脆弱性を悪用してサードパーティ システムに誘導したりしないでください。
それまでは、次のガイドラインに従う必要があります。
本ポリシーおよびその他の関連する契約の遵守を含む、関連するすべての規則を遵守してください。本ポリシーとその他の該当する規定との間に矛盾または矛盾がある場合には、本ポリシーの規定が優先するものとします。
インタラクティブなプロセスはテスト アカウントに限定されます。
セキュリティ脆弱性テストは、最大 2 つのアカウントの作成に制限されます。
セキュリティ脆弱性情報は、公式チャネルを通じてのみ当社に報告および/または開示してください。
相互に影響を与える一連の脆弱性を実証する必要がある場合を除き、レポートごとに提出できる脆弱性は 1 つだけです。
研究試験期間のすべてのデータは、報告書の提出後、安全かつ機密の方法で直ちに削除されます。
テストを規制の範囲内のシステムに限定し、規制の範囲外のシステムと活動を尊重します。
セキュリティの脆弱性を検索する、非常に侵入性の高いスキャナや自動スキャナの使用は避けてください。
Trading Point の事前の書面による同意がない限り、セキュリティ脆弱性の問題について議論したり、公に開示したりすることはできません。
ネットワークレベルの「サービス拒否」攻撃を決して実行しないでください。
Trading Point のオフィス、ユーザー、および/または従業員に対して、いかなる種類のソーシャル エンジニアリング テストや物理的セキュリティ攻撃も決して実行しないでください。
オンライン フォーム、特にカスタマー サービス チームに連絡するためのお問い合わせフォームでは、自動テスト/テスト スクリプトを決して実行しないでください。
セキュリティ違反を確認した場合、または機密データ (個人を特定できる情報 (PII)、財務情報、機密情報、当事者の企業秘密を含む) を誤って発見した場合は、直ちにテストを中止し、直ちに当社に通知し、このデータを誰にも開示しないでください。同時に、「概念実証」を実践し、最小限のデータを使用してこの脆弱性の存在を効果的に証明する必要もあります。
発見した既存および/または潜在的なセキュリティ脆弱性のレポートを提出し、関連するすべての情報を提供するには、vulnerability.disclosure@xmglobal.com に電子メールを送信します。より詳細な情報を提供していただくと、問題の優先順位付けと解決に役立ちます。
分類を確認し、レポートの優先順位を特定しやすくするために、レポートを次のようにすることをお勧めします。
脆弱性が見つかった場所またはアプリケーションの問題、および悪用される可能性がある潜在的な影響について説明します。
脆弱性を完全に再現するために必要な詳細な手順と説明を提供します (概念実証のスクリプトやスクリーンショットの提供を含む)
できるだけ多くの詳細を提供するようにしてください。
IP アドレス、電子メール、脆弱性のテストに使用したユーザー/エージェント、および取引プラットフォームで使用したユーザー名 (存在する場合) を提供してください。
可能であれば、レポートは英語で提出してください。
これが重大なセキュリティ上の脆弱性である、または機密情報が含まれていると判断した場合は、PGP キーを使用して PGP 暗号化メールを送信して、当社のチームに連絡してください。
a) 対象範囲内のシステム/サービス
ウェブドメイン名
https://www.xmforexcn.com
https://xmforexcn.com
アンドロイド アンドロイドアプリケーション
XM Android アプリ (com.xm.webapp)
iOSアプリ
XM iOS アプリ (id1072084799)
2) 対象外のシステム・サービス
上記「対象範囲内のシステム・サービス」に明示されていないサービス(関連サービス等)、システム、ドメイン名は対象外のシステム・サービスであり、当社は一切のテストを認めておりません。さらに、このポリシーの範囲外であるベンダーのシステムの脆弱性を発見した場合は、ベンダーの開示ポリシー (存在する場合) に従って、そのベンダーに直接報告してください。システムが対象範囲内かどうか不明な場合は、vulnerability.disclosure@xmglobal.com までお問い合わせください。
3) 範囲内のセキュリティ脆弱性
SQLインジェクション攻撃
クロスサイトスクリプティング攻撃(XSS攻撃)
リモートコード実行の脆弱性 (RCE)
サーバーサイドリクエストフォージェリ(SSRF)
壊れた認証とセッション管理の脆弱性
安全でない直接オブジェクト参照の脆弱性 (IDOR)
機密情報の漏洩
ディレクトリ/パストラバーサルの脆弱性
ローカル/リモートファイルインクルードの脆弱性
影響の大きいクロスサイト リクエスト フォージェリ (CSRF)
機密パラメータへのオープン リダイレクトの脆弱性
サブドメイン ハイジャックの脆弱性 (通常、サブドメイン ハイジャックの問題が発生すると、攻撃者は「Web サイトはメンテナンス中のため、できるだけ早く通常の状態に復元されます。」などのフレンドリーなメッセージを投稿します)。
4) 対象外のセキュリティ脆弱性
このセキュリティ脆弱性開示ポリシーは、範囲を超える特定のセキュリティ脆弱性をカバーしません。これには以下が含まれますが、これらに限定されません。
SPF 電子メール検証メカニズム、DKIM 電子メール識別方法、DMARC 電子メール検証システム設定などの電子メール システム構成の問題
アカウントの変更など、機密性の高い機密操作のクリックジャッキングを引き起こさない
セルフ XSS クロスサイト スクリプティング攻撃 (例: 攻撃者がユーザーをだまして個人の Web ブラウザにコードを挿入させる)
最小限の影響を与えるコンテンツ スプーフィング攻撃 (例: 非 HTML テキスト インジェクション攻撃)
影響を最小限に抑えるクロスサイト リクエスト フォージェリ (CSRF) (ログインまたはログアウト フォームの CSRF)
オープンリダイレクト (他のセキュリティへの影響が証明できない場合)
最小限の影響による改行改行 (CRLF) インジェクションの脆弱性
影響が最小限のホスト ヘッダー インジェクション攻撃の脆弱性
機密ではない機密 Cookie に HttpOnly 属性またはセキュリティ ID の脆弱性がありません
SSL/TLS の送信暗号化セキュリティ プロトコル構成では、最適な構成効果が得られません。
HTTP セキュリティ ヘッダーが欠落しているか、正しく構成されていません。例: コンテンツ セキュリティ ポリシー (CSP)、HTTP Strict Transport Security (HSTS)
キャプチャ システムには検証コード制御がありません
ログインページでのエラーによるユーザー名/メールアドレスの列挙
パスワードを忘れたためにユーザー名/メールアドレスの列挙中にエラーが発生しました
ユーザー同士がやり取りする必要がない
パスワードの複雑さ、またはアカウントやパスワード ポリシーに関連するその他の問題
不十分なセッションタイムアウトの問題
ブルートフォースパスワード攻撃
重要ではない操作のレート制限の問題
WordPress の脆弱性、悪用可能性の証拠の欠如
悪用可能な証拠が欠如しているソフトウェア バージョンの脆弱性の開示
サービス中断 (DoS) を引き起こす可能性のあるアクティビティ
ルート保護システム (アプリケーション) の欠如/バイパス
SSL 証明書の欠落/バイパスの問題 (アプリケーション)
コードの難読化の欠如 (アプリケーション)
Trading Point はオープン性と透明性の原則を遵守し、その能力の範囲内で以下の応答時間内にすべてのセキュリティ脆弱性開示プログラムの研究者と調整することに尽力しています。
当社は、まず 3 営業日以内 (レポートの提出時から) に返信し、レポートが受領されたことを最初に確認します。
検査・分類は5営業日以内(報告書提出から)
当社は、セキュリティ脆弱性の存在の確認、修復プロセス中に講じた手順の説明、原因となる可能性のある問題や特別な状況の有無など、インシデントの進行状況全体を可能な限りオープンかつ透明性をもってお知らせします。遅れます。
私たちは、このポリシーに従ってセキュリティの脆弱性を報告するために時間と労力を費やす人を高く評価し、感謝しています。現在、セキュリティ脆弱性の開示に対して報奨金は提供していませんが、将来的には調整される可能性があります。
このセキュリティ脆弱性開示ポリシーに関してフィードバックや提案がある場合は、vulnerability.disclosure@xmglobal.com までご連絡ください。
Trading Point は、会社とすべてのユーザーの全体的なサイバーセキュリティを維持するためのご支援に感謝いたします。
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Trading Point のセキュリティ脆弱性の開示 PGP キーをダウンロード
注意: メッセージを暗号化するときは、上記の PGP キーと個人キーの両方を使用してください。