XM보안 취약점 공개 정책
1. 소개
2. 이용약관
3. 보상
4. 피드백 및 제안
5. PGP 공개 키 지문
Trading Point Group("Trading Point")은 고객과 데이터의 보안을 보호하기 위해 최선을 다하고 있으므로 보안을 보장하는 솔루션과 애플리케이션을 공동으로 개발하기 위해 인터넷 보안 커뮤니티와 파트너십을 구축하는 데 큰 중요성을 부여합니다. 보안 취약성 공개 정책은 모든 인터넷 보안 연구자 및 테스터가 취약성 또는 기타 보안 문제를 찾아내고 적시에 명확한 피드백을 제출하도록 장려하기 위해 고안되었습니다.
Trading Point 시스템과 관련된 취약점이나 기타 보안 문제를 발견한 사람은 언제든지 피드백을 제공할 수 있습니다. 이 정책에는 회사 시스템의 정의와 시장 분석 유형, 그리고 보안 취약성 보고서를 제출하는 방법에 대한 단계가 간략하게 설명되어 있습니다.
본 정책의 모든 이용 약관은 제출된 모든 보안 취약성 보고서에 적용됩니다. 보안 연구 테스터가 Trading Point에 보안 취약성 보고서를 제출하기로 선택한 경우, 그들은 모든 관련 이용약관을 자세히 읽었음을 인정하고 이를 준수하는 데 동의합니다.
2.1 면책 조항/승인
귀하가 보안 취약성을 조사, 테스트 및 보고할 때, 귀하가 정직성 원칙을 고수하고 본 정책의 조건과 규정을 준수하는 한 당사는 다음과 같은 약속도 합니다.
귀하의 연구 테스트가 해당 해킹 방지 규정에 의해 승인되는 한 당사는 귀하의 연구 테스트에 대해 법적 조치를 고려하거나 취하지 않을 것입니다.
귀하의 연구 테스트가 우회 방지 법령에 의해 승인되는 한, 당사는 기술적 통제 방해에 대해 귀하를 상대로 어떠한 청구도 제기하지 않습니다.
합법적이고, 정직하게 수행되며, 인터넷의 전반적인 보안을 향상시키도록 설계되었습니다.
귀하는 모든 해당 규정을 준수해야 합니다. 귀하가 본 정책의 이용 약관을 준수하고 선의로 연구 및 테스트 활동을 수행한 후 제3자가 귀하에 대해 법적 조치를 취하는 경우 당사는 승인을 발표할 것입니다.
귀하의 보안 취약점 연구 및 테스트가 본 정책의 조건 및 규정을 준수하는지 여부에 대해 의문이 있거나 확실하지 않은 경우, 연구 및 테스트를 계속하기 전에 언제든지 공식 채널(아래 설명 참조)을 통해 상담하실 수 있습니다.
면책 조항은 본 정책을 준수하는 데 동의한 조직에만 적용되며 독립적인 제3자에게는 적용되지 않습니다.
2.2 지침
본 정책에 정의된 대로 귀하가 수행하는 "연구" 활동은 다음과 같습니다.
연구 및 테스트 활동 중에 발견된 기존 또는 잠재적인 보안 취약점이 있으면 즉시 알려주시기 바랍니다.
연구 및 테스트 활동 중에 개인정보 침해, 사용자 경험 저하, 생산 시스템 방해, 데이터 손상 또는 악의적 조작을 방지하기 위해 노력하십시오.
보안 취약점은 보안 취약점의 존재를 확인하고 증명하는 데 필요한 범위까지만 연구 및 테스트 활동 중에 사용됩니다. 취약점을 남용하여 데이터를 파괴하거나 유출하지 말고, 지속 가능하게 실행 가능한 명령줄 인터페이스를 구축하지 못하며, 타사 시스템에 취약점을 남용하지 마십시오.
그동안 다음 지침을 준수해야 합니다.
본 정책 및 기타 관련 계약 준수를 포함하여 모든 관련 규칙을 준수합니다. 본 정책과 기타 적용 가능한 조항 사이에 불일치나 충돌이 있는 경우, 본 정책의 조항이 우선합니다.
대화형 프로세스는 테스트 계정으로 제한됩니다.
모든 보안 취약성 테스트는 최대 2개의 계정 생성으로 제한됩니다.
공식 채널을 통해서만 보안 취약성 정보를 당사에 보고 및/또는 공개하십시오.
서로 어떻게 영향을 미치는지 입증해야 하는 일련의 상호 연결된 취약점이 아닌 한 보고서당 하나의 취약점만 제출할 수 있습니다.
연구 테스트 기간의 모든 데이터는 보고서 제출 즉시 안전하고 비밀이 보장되는 방식으로 즉시 삭제됩니다.
테스트는 규정 범위 내의 시스템으로 제한하고 규정 범위 밖의 시스템과 활동을 존중합니다.
보안 취약점을 검색하는 매우 침해적이거나 자동화된 스캐너를 사용하지 마십시오.
Trading Point의 사전 서면 동의 없이 보안 취약성 문제를 공개적으로 논의하거나 공개할 수 없습니다.
네트워크 수준의 "서비스 거부" 공격을 수행하지 마십시오.
Trading Point 사무실, 사용자 및/또는 직원에 대해 어떠한 유형의 사회 공학 테스트 및/또는 물리적 보안 공격도 수행하지 마십시오.
온라인 양식, 특히 고객 서비스 팀에 연락하기 위한 "연락처" 양식에서는 자동화된 테스트/테스트 스크립트를 수행하지 마십시오.
보안 위반을 확인했거나 기밀의 민감한 데이터(개인 식별 정보(PII), 금융 정보, 독점 정보 또는 모든 당사자의 영업 비밀 포함)를 실수로 발견한 경우 즉시 테스트를 중단하고 즉시 당사에 통보해야 합니다. 이 데이터를 누구에게도 공개하지 마십시오. 동시에 "개념 증명"을 실행하고 최소한의 데이터를 사용하여 이 취약점의 존재를 효과적으로 입증해야 합니다.
2.3 보안 취약점 신고/공식 채널
귀하는 귀하가 발견한 기존 및/또는 잠재적인 보안 취약성에 대한 보고서를 제출하고 모든 관련 정보를 Vulnerability.disclosure@xmglobal.com으로 이메일을 보내 제출할 수 있습니다. 제공해 주신 자세한 정보는 문제를 분류하고 해결하는 데 도움이 됩니다.
분류를 검토하고 보고서 우선순위를 식별하는 데 도움이 되도록 보고서에 다음 사항을 권장합니다.
취약점이 발견된 위치 또는 애플리케이션 문제와 악용될 수 있는 잠재적 영향을 설명합니다.
취약점을 완전히 재현하는 데 필요한 자세한 단계와 설명을 제공합니다(개념 증명 스크립트 또는 스크린샷 제공 포함).
가능한 한 많은 세부정보를 제공하도록 노력하세요.
취약점을 테스트하는 데 사용한 IP 주소, 이메일, 사용자/에이전트, 거래 플랫폼에서 사용된 사용자 이름(있는 경우)을 제공해 주세요.
가능하다면 영문으로 보고서를 제출해주시기 바랍니다.
이것이 심각한 보안 취약점이거나 민감한 기밀 정보가 포함되어 있다고 판단되면 당사의 PGP 키를 사용하여 PGP로 암호화된 이메일을 보내 당사 팀에 문의하실 수 있습니다.
2.4 범위
a) 범위 내 시스템/서비스
웹 도메인 이름
https://www.xmforexcn.com
https://xmforexcn.com
안드로이드 안드로이드 애플리케이션
XM 안드로이드 앱(com.xm.webapp)
iOS 앱
XM iOS 앱(id1072084799)
2) 범위 밖의 시스템/서비스
위의 "범위 내의 시스템/서비스"에 명시적으로 나열되지 않은 모든 서비스(예: 관련 서비스), 시스템 또는 도메인 이름은 범위 밖의 시스템/서비스이며 당사는 어떠한 테스트도 승인하지 않습니다. 또한, 본 정책의 범위를 벗어나는 당사 공급업체 시스템의 취약점을 발견한 경우 해당 공급업체의 공개 정책(있는 경우)에 따라 해당 공급업체에 직접 보고하십시오. 시스템이 범위에 포함되는지 확실하지 않은 경우 Vulnerability.disclosure@xmglobal.com으로 문의해 주세요.
3) 범위 내의 보안 취약점
SQL 주입 공격
크로스 사이트 스크립팅 공격(XSS 공격)
원격 코드 실행 취약점(RCE)
서버 측 요청 위조(SSRF)
손상된 인증 및 세션 관리 취약점
안전하지 않은 직접 개체 참조 취약점(IDOR)
기밀 및 민감한 정보의 노출
디렉터리/경로 탐색 취약점
로컬/원격 파일 포함 취약점
영향력이 큰 사이트 간 요청 위조(CSRF)
민감한 기밀 매개변수 취약점으로의 공개 리디렉션
하위 도메인 하이재킹 취약성(일반적으로 하위 도메인 하이재킹 문제가 발생하면 공격자는 "웹 사이트가 유지 관리 중이며 가능한 한 빨리 정상으로 복원될 것입니다."와 같은 친근한 메시지를 게시합니다.)
4) 범위 밖의 보안 취약점
본 보안 취약성 공개 정책은 범위를 벗어나는 특정 보안 취약성을 다루지 않습니다.
SPF 이메일 확인 메커니즘, DKIM 이메일 식별 방법 및 DMARC 이메일 확인 시스템 설정을 포함한 이메일 시스템 구성 문제
계정 수정과 같은 기밀 및 민감한 작업에 대한 클릭재킹을 유발하지 않습니다.
자체 XSS 크로스 사이트 스크립팅 공격(예: 공격자가 사용자를 속여 개인 웹 브라우저에 코드를 삽입하도록 함)
최소한의 영향만 미치는 콘텐츠 스푸핑 공격(예: HTML이 아닌 텍스트 삽입 공격)
CSRF(Cross-Site Request Forgery)에 대한 영향을 최소화합니다(예: 로그인 또는 로그아웃 양식용 CSRF).
공개 리디렉션(다른 보안 관련 사항이 입증되지 않는 한)
최소 충격 캐리지 리턴 라인 피드(CRLF) 주입 취약성
최소 영향 호스트 헤더 삽입 공격 취약점
HttpOnly 속성 또는 보안 ID 취약점이 누락된 기밀이 아닌 민감한 쿠키
SSL/TLS의 전송 암호화 보안 프로토콜 구성은 최적의 구성 효과를 얻지 못합니다.
HTTP 보안 헤더가 없거나 잘못 구성되었습니다. 예를 들어 CSP(콘텐츠 보안 정책), HSTS(HTTP 엄격한 전송 보안)
보안 문자 시스템에 인증 코드 제어 기능이 부족함
로그인 페이지 오류로 인해 사용자 이름/이메일 열거 중
비밀번호를 잊어버렸기 때문에 사용자 이름/이메일을 열거하는 중에 오류가 발생했습니다.
사용자는 서로 상호 작용할 필요가 없습니다.
비밀번호 복잡성 또는 계정 및/또는 비밀번호 정책과 관련된 기타 문제
세션 시간 초과 문제가 충분하지 않습니다.
무차별 비밀번호 공격
중요하지 않은 작업에 대한 속도 제한 문제
WordPress 취약점 악용 증거 부족
악용 가능한 증거가 부족한 소프트웨어 버전의 취약점 공개
서비스 중단(DoS)을 일으킬 수 있는 모든 활동
루트보호시스템 미비/우회(적용)
누락/우회된 SSL 인증서 고정 문제(응용 프로그램)
코드 난독화 부족(애플리케이션)
2.5 응답 시간
Trading Point는 개방성과 투명성의 원칙을 고수하며 능력 내에서 다음 응답 시간 내에 모든 보안 취약점 공개 프로그램의 연구원과 협력하기 위해 최선을 다하고 있습니다.
당사는 귀하의 신고서가 접수되었다는 최초 확인과 함께 영업일 기준 3일(신고서 제출 시점부터) 이내에 먼저 답변을 드릴 것입니다.
영업일 기준 5일 이내(보고서 제출일로부터) 검사 및 분류
보안 취약점의 존재 여부를 확인하고, 수리 과정에서 당사가 취한 조치 사항을 설명하고, 발생할 수 있는 문제나 특별한 상황이 있는지 여부 등 사건의 전체 진행 상황을 최대한 공개적이고 투명하게 알려드리겠습니다. 지연.
우리는 이 정책을 준수하면서 보안 취약성을 보고하기 위해 시간과 노력을 들이는 모든 사람을 소중히 여기고 감사드립니다. 현재는 보안 취약점 공개에 대한 보상을 제공하지 않지만 향후 조정될 수 있습니다.
본 보안 취약점 공개 정책에 대한 피드백이나 제안 사항이 있는 경우 Vulnerability.disclosure@xmglobal.com으로 문의해 주십시오.
Trading Point는 회사와 모든 사용자의 전반적인 사이버 보안을 유지하는 데 도움을 주신 데 대해 감사드립니다.
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
트레이딩 포인트 보안 취약점 공개 PGP 키 다운로드
알림: 메시지를 암호화할 때 위의 PGP 키와 개인 키를 모두 사용하세요.