XM Dasar Pendedahan Kerentanan Keselamatan
1. Pengenalan
2. Terma dan Syarat
3. Ganjaran
4. Maklum Balas dan Cadangan
5. Cap jari kunci awam PGP
Trading Point Group ("Trading Point") komited untuk melindungi keselamatan pelanggannya dan data mereka, dan oleh itu amat mementingkan mewujudkan perkongsian dengan komuniti keselamatan Internet untuk bersama-sama mencipta penyelesaian dan aplikasi yang memastikan keselamatan. Dasar Pendedahan Kerentanan Keselamatan direka untuk menggalakkan semua penyelidik dan penguji keselamatan Internet untuk membantu mencari dan menemui kelemahan atau isu keselamatan lain, dan untuk menyerahkan maklum balas yang jelas kepada kami tepat pada masanya.
Sesiapa sahaja yang menemui kelemahan atau isu keselamatan lain yang berkaitan dengan sistem Trading Point dialu-alukan untuk memberikan maklum balas kepada kami pada bila-bila masa. Dasar ini menggariskan takrifan sistem syarikat dan jenis analisis pasaran, serta langkah untuk cara menyerahkan laporan kelemahan keselamatan.
Semua terma dan syarat dasar ini digunakan untuk semua laporan kerentanan keselamatan yang diserahkan Jika penguji penyelidikan keselamatan memilih untuk menyerahkan laporan kerentanan keselamatan kepada Trading Point, mereka mengakui bahawa mereka telah membaca secara terperinci dan bersetuju untuk mematuhi semua terma dan syarat yang berkaitan.
2.1 Pelabuhan Selamat/Kebenaran
Apabila anda menyelidik, menguji dan melaporkan kelemahan keselamatan, selagi anda mematuhi prinsip integriti dan mematuhi terma dan peraturan dasar ini, syarikat kami juga berjanji:
Kami tidak akan mempertimbangkan atau mengambil tindakan undang-undang terhadap ujian penyelidikan anda selagi ujian penyelidikan anda dibenarkan oleh mana-mana peraturan anti-penggodaman yang berkenaan.
Selagi ujian penyelidikan anda dibenarkan oleh mana-mana statut anti-pemintasan, kami tidak akan mempunyai sebarang tuntutan terhadap anda kerana mengganggu kawalan teknikal.
adalah sah, dilaksanakan dengan integriti, dan direka untuk meningkatkan keselamatan keseluruhan Internet.
Anda mesti mematuhi semua peraturan yang berkenaan. Jika anda mematuhi terma dan syarat dasar ini dan menjalankan aktiviti penyelidikan dan ujian dengan niat baik, dan pihak ketiga memulakan tindakan undang-undang terhadap anda, kami akan mengumumkan kebenaran tersebut.
Jika anda mempunyai sebarang keraguan atau tidak pasti sama ada penyelidikan dan ujian kerentanan keselamatan anda mematuhi terma dan peraturan dasar ini, anda dialu-alukan untuk berunding pada bila-bila masa melalui saluran rasmi (seperti yang diterangkan di bawah) sebelum anda meneruskan penyelidikan dan ujian.
Sila ambil perhatian bahawa safe harbor hanya terpakai kepada organisasi yang bersetuju untuk mematuhi dasar ini dan tidak mentadbir pihak ketiga yang bebas.
2.2 Garis Panduan
Seperti yang ditakrifkan dalam dasar ini, aktiviti "penyelidikan" yang anda lakukan ialah:
Sila maklumkan kepada kami dengan segera tentang sebarang kelemahan keselamatan sedia ada atau potensi yang ditemui semasa aktiviti penyelidikan dan ujian kami.
Bekerja semasa aktiviti penyelidikan dan ujian untuk mengelak daripada melanggar privasi, merendahkan pengalaman pengguna, mengganggu sistem pengeluaran dan merosakkan atau memanipulasi data secara berniat jahat.
Kerentanan keselamatan digunakan semasa aktiviti penyelidikan dan ujian hanya setakat yang diperlukan untuk mengesahkan dan membuktikan kewujudan kelemahan keselamatan. Jangan menyalahgunakan kelemahan untuk memusnahkan atau membocorkan data, gagal mewujudkan antara muka baris perintah yang boleh dilaksanakan secara mampan dan/atau menyalahgunakan kelemahan untuk membawa kepada sistem pihak ketiga.
Sementara itu, anda mesti mematuhi garis panduan berikut:
Mematuhi semua peraturan yang berkaitan, termasuk pematuhan dengan Polisi ini dan mana-mana perjanjian lain yang berkaitan. Sekiranya berlaku apa-apa percanggahan atau konflik antara Polisi ini dan mana-mana peruntukan lain yang berkenaan, peruntukan Polisi ini akan diguna pakai.
Proses interaktif terhad kepada akaun ujian anda.
Sebarang ujian kelemahan keselamatan adalah terhad kepada penciptaan maksimum dua (2) akaun.
Laporkan dan/atau dedahkan maklumat kelemahan keselamatan kepada kami hanya melalui saluran rasmi.
Hanya satu kerentanan boleh diserahkan bagi setiap laporan, melainkan ia adalah satu siri kelemahan yang saling berkaitan yang perlu menunjukkan cara ia mempengaruhi satu sama lain.
Semua data daripada tempoh ujian kajian akan dipadamkan serta-merta dan dalam cara yang selamat dan sulit selepas laporan diserahkan.
Hadkan ujian kepada sistem dalam skop peraturan dan hormati sistem dan aktiviti di luar skop peraturan.
Elakkan daripada menggunakan pengimbas yang sangat mengganggu dan/atau automatik untuk mencari kelemahan keselamatan.
Tiada isu kelemahan keselamatan boleh dibincangkan atau didedahkan secara terbuka tanpa kebenaran bertulis daripada Trading Point terlebih dahulu.
Jangan sekali-kali melakukan sebarang serangan "penafian perkhidmatan" peringkat rangkaian.
Jangan sekali-kali menjalankan sebarang jenis ujian kejuruteraan sosial dan/atau serangan keselamatan fizikal ke atas pejabat, pengguna dan/atau pekerja Trading Point.
Jangan sekali-kali melakukan ujian/skrip ujian automatik pada borang dalam talian, terutamanya borang Hubungi Kami untuk menghubungi pasukan perkhidmatan pelanggan.
Jika anda telah mengesahkan pelanggaran keselamatan, atau jika anda secara tidak sengaja menemui sebarang data sensitif sulit (termasuk maklumat pengenalan peribadi (PII), maklumat kewangan, maklumat proprietari atau rahsia dagangan mana-mana pihak), anda mesti segera menghentikan ujian, Beritahu kami dengan segera dan jangan dedahkan data ini kepada sesiapa. Pada masa yang sama, anda juga mesti mengamalkan "bukti konsep" dan menggunakan data minimum untuk membuktikan kewujudan kelemahan ini dengan berkesan.
2.3 Laporkan kelemahan keselamatan / saluran rasmi
Anda boleh menyerahkan laporan tentang kelemahan keselamatan yang sedia ada dan/atau berpotensi yang telah anda temui dan memberikan semua maklumat yang berkaitan dengan menghantar e-mel kepada vulnerability.disclosure@xmglobal.com. Lebih banyak maklumat terperinci yang anda berikan, lebih banyak maklumat terperinci yang anda berikan akan membantu kami mencuba dan membetulkan isu tersebut.
Untuk membantu kami menyemak klasifikasi dan mengenal pasti keutamaan laporan, kami mengesyorkan agar laporan anda:
Terangkan lokasi atau isu aplikasi tempat kerentanan ditemui, dan potensi kesan yang boleh disalahgunakan.
Sediakan langkah dan penerangan terperinci yang diperlukan untuk menghasilkan semula sepenuhnya kerentanan (termasuk menyediakan skrip bukti konsep atau tangkapan skrin)
Cuba berikan seberapa banyak butiran yang mungkin.
Sila berikan alamat IP, e-mel, pengguna/ejen yang anda gunakan untuk menguji kelemahan, dan nama pengguna yang digunakan dalam platform dagangan (jika ada).
Jika boleh, sila serahkan laporan dalam bahasa Inggeris.
Jika anda menentukan ini adalah kerentanan keselamatan yang kritikal atau mengandungi maklumat sensitif yang sulit, anda boleh menghubungi pasukan kami dengan menghantar e-mel yang disulitkan PGP menggunakan kunci PGP kami.
2.4 Skop
a) Sistem/Perkhidmatan Dalam Skop
nama domain web
https://www.xmforexcn.com
https://xmforexcn.com
Aplikasi Android Android
Apl Android XM (com.xm.webapp)
Apl iOS
Apl iOS XM (id1072084799)
2) Sistem/perkhidmatan di luar skop
Sebarang perkhidmatan (seperti perkhidmatan berkaitan), sistem atau nama domain yang tidak disenaraikan secara eksplisit dalam "sistem/perkhidmatan dalam skop" di atas adalah sistem/perkhidmatan di luar skop dan syarikat kami tidak membenarkan sebarang ujian. Selain itu, jika anda menemui sebarang kelemahan dalam sistem vendor kami yang berada di luar skop dasar ini, sila laporkan terus kepada vendor tersebut mengikut dasar pendedahan vendor tersebut (jika ada). Jika anda tidak pasti sama ada sistem berada dalam skop, sila hubungi kami di vulnerability.disclosure@xmglobal.com.
3) Kelemahan keselamatan dalam skop
Serangan suntikan SQL
Serangan skrip merentas tapak (serangan XSS)
Kerentanan pelaksanaan kod jauh (RCE)
Pemalsuan Permintaan Sisi Pelayan (SSRF)
Pengesahan Rusak dan Kerentanan Pengurusan Sesi
Kerentanan Rujukan Objek Langsung Tidak Selamat (IDOR)
Pendedahan maklumat sulit dan sensitif
Kerentanan lintasan direktori/laluan
Kerentanan kemasukan fail setempat/jauh
Pemalsuan Permintaan Merentas Tapak (CSRF) berimpak tinggi
Buka Ubah hala kepada Kerentanan Parameter Sensitif Sulit
Kerentanan rampasan subdomain (biasanya apabila masalah rampasan subdomain berlaku, penyerang akan menyiarkan mesej mesra, seperti: "Tapak web sedang diselenggara dan akan dipulihkan kepada normal secepat mungkin.")
4) Kelemahan keselamatan di luar skop
Dasar pendedahan kerentanan keselamatan ini tidak meliputi kelemahan keselamatan tertentu Kelemahan keselamatan di luar skop termasuk tetapi tidak terhad kepada:
Isu konfigurasi sistem e-mel, termasuk mekanisme pengesahan e-mel SPF, kaedah pengenalan e-mel DKIM dan tetapan sistem pengesahan e-mel DMARC
Tidak menyebabkan clickjacking operasi sulit dan sensitif, seperti mengubah suai akaun
Serangan skrip merentas tapak XSS sendiri (cth., penyerang menipu pengguna untuk menyuntik kod ke dalam pelayar web peribadi)
Serangan spoofing kandungan yang menghasilkan kesan minimum (mis., serangan suntikan teks bukan HTML)
Menghasilkan pemalsuan permintaan merentas tapak kesan minimum (CSRF) (cth., CSRF untuk borang log masuk atau log keluar)
Buka ubah hala (melainkan implikasi keselamatan lain boleh dibuktikan)
Kerentanan Suapan Talian Pulangan Pengangkutan Kesan Minimal (CRLF).
Kesan Minima Kesan Serangan Pengepala Hos Kerentanan Serangan
Kuki Sensitif Bukan Sulit Tiada Atribut HttpSahaja atau Kerentanan Identiti Keselamatan
Konfigurasi protokol keselamatan penyulitan penghantaran SSL/TLS tidak mencapai kesan konfigurasi yang optimum.
Pengepala keselamatan HTTP tiada atau salah konfigurasi. Contohnya, Dasar Keselamatan Kandungan (CSP), HTTP Strict Transport Security (HSTS)
Sistem Captcha tidak mempunyai kawalan kod pengesahan
Menghitung nama pengguna/e-mel kerana ralat pada halaman log masuk
Ralat menghitung nama pengguna/e-mel kerana kata laluan terlupa
Pengguna tidak perlu berinteraksi antara satu sama lain
Kerumitan kata laluan, atau isu lain yang berkaitan dengan mana-mana akaun dan/atau dasar kata laluan
Isu tamat masa sesi tidak mencukupi
Serangan kata laluan brute force
Isu mengehadkan kadar untuk operasi tidak kritikal
Kerentanan WordPress Kekurangan Bukti Kebolehgunaan
Pendedahan kerentanan dalam versi perisian yang tidak mempunyai bukti yang boleh dieksploitasi
Sebarang aktiviti yang boleh menyebabkan gangguan perkhidmatan (DoS)
Kekurangan/memintas sistem perlindungan akar (aplikasi)
Isu Penyematan Sijil SSL Hilang/Dipintas (Permohonan)
Kekurangan pengeliruan kod (aplikasi)
2.5 Masa tindak balas
Trading Point mematuhi prinsip keterbukaan dan ketelusan dan komited untuk menyelaras dengan penyelidik semua program pendedahan kerentanan keselamatan dalam masa tindak balas berikut mengikut kemampuannya:
Kami akan bertindak balas terlebih dahulu dalam masa tiga (3) hari perniagaan (dari masa penyerahan laporan) dengan pengesahan awal bahawa laporan anda telah diterima.
Pemeriksaan dan klasifikasi dalam tempoh lima (5) hari bekerja (dari penyerahan laporan)
Kami akan memaklumkan anda tentang keseluruhan perkembangan insiden secara terbuka dan telus yang mungkin, termasuk mengesahkan kepada anda kewujudan kelemahan keselamatan, menerangkan langkah-langkah yang telah kami ambil semasa proses pembaikan, dan sama ada terdapat sebarang masalah atau keadaan khas yang mungkin menyebabkan kelewatan.
Kami menghargai dan menghargai sesiapa sahaja yang meluangkan masa dan usaha untuk melaporkan kerentanan keselamatan selaras dengan dasar ini. Pada masa ini kami tidak menawarkan sebarang ganjaran untuk pendedahan kerentanan keselamatan, tetapi ini mungkin diselaraskan pada masa hadapan.
Jika anda mempunyai sebarang maklum balas atau cadangan tentang dasar pendedahan kerentanan keselamatan ini, sila hubungi kami di vulnerability.disclosure@xmglobal.com.
Trading Point menghargai bantuan anda dalam mengekalkan keselamatan siber keseluruhan untuk syarikat dan semua pengguna.
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Muat Turun Kunci PGP Pendedahan Kerentanan Keselamatan Trading Point
Peringatan: Apabila menyulitkan mesej, gunakan kedua-dua kunci PGP di atas dan kunci peribadi anda.