XM Политика раскрытия уязвимостей безопасности
1. Введение
2. Условия использования
3. Награды
4. Отзывы и предложения
5. Отпечаток открытого ключа PGP.
Trading Point Group («Trading Point») стремится защищать безопасность своих клиентов и их данных, и поэтому придает большое значение установлению партнерских отношений с сообществом интернет-безопасности для совместного создания решений и приложений, обеспечивающих безопасность. Политика раскрытия уязвимостей безопасности призвана побудить всех исследователей и тестировщиков интернет-безопасности помогать находить и обнаруживать уязвимости или другие проблемы безопасности, а также своевременно предоставлять нам четкие отзывы.
Любой, кто обнаружит уязвимости или другие проблемы безопасности, связанные с системой Trading Point, может оставить нам отзыв в любое время. В этой политике изложены определения систем компании и типы анализа рынка, а также шаги по отправке отчета об уязвимостях безопасности.
Все положения и условия этой политики применяются ко всем отправленным отчетам об уязвимостях безопасности. Если тестировщики-исследователи безопасности решают отправить отчет об уязвимостях безопасности в Trading Point, они подтверждают, что они подробно прочитали и соглашаются соблюдать все соответствующие положения и условия.
2.1 «Безопасная гавань»/разрешение
Когда вы исследуете, тестируете и сообщаете об уязвимостях безопасности, при условии, что вы придерживаетесь принципа честности и соблюдаете условия и положения настоящей политики, наша компания также обещает:
Мы не будем рассматривать или предпринимать судебные иски против вашего исследовательского тестирования, если ваше исследовательское тестирование разрешено любыми применимыми правилами по борьбе с хакерством.
Пока ваше исследовательское тестирование разрешено каким-либо законом о борьбе с обходом, у нас не будет никаких претензий к вам за нарушение технического контроля.
являются законными, выполняются добросовестно и предназначены для повышения общей безопасности Интернета.
Вы должны соблюдать все применимые правила. Если вы соблюдаете положения и условия этой политики и добросовестно проводите исследования и испытания, а третья сторона инициирует против вас судебный иск, мы объявим о разрешении.
Если у вас есть какие-либо сомнения или вы не уверены, соответствуют ли ваши исследования и испытания уязвимостей безопасности условиям и положениям настоящей политики, вы можете в любое время проконсультироваться по официальным каналам (как описано ниже), прежде чем продолжить исследование и тестирование.
Обратите внимание, что «безопасная гавань» применяется только к организациям, которые согласны соблюдать эту политику, и не регулирует независимые третьи стороны.
2.2 Рекомендации
Как определено в этой политике, «исследовательская» деятельность, которую вы выполняете:
Пожалуйста, немедленно сообщите нам о любых существующих или потенциальных уязвимостях безопасности, обнаруженных в ходе наших исследований и испытаний.
Работайте во время исследований и тестирования, чтобы избежать нарушения конфиденциальности, ухудшения пользовательского опыта, вмешательства в производственные системы, а также повреждения или злонамеренного манипулирования данными.
Уязвимости безопасности используются в ходе исследований и испытаний только в той мере, в которой это необходимо для подтверждения и доказательства существования уязвимости безопасности. Не злоупотребляйте уязвимостями для уничтожения или утечки данных, не устанавливайте устойчиво исполняемый интерфейс командной строки и/или не злоупотребляйте уязвимостями для управления сторонними системами.
При этом необходимо придерживаться следующих рекомендаций:
Соблюдать все соответствующие правила, включая соблюдение настоящей Политики и любых других соответствующих соглашений. В случае любого несоответствия или конфликта между настоящей Политикой и любыми другими применимыми положениями положения настоящей Политики имеют преимущественную силу.
Интерактивный процесс ограничен вашей тестовой учетной записью.
Любое тестирование уязвимостей безопасности ограничивается созданием максимум двух (2) учетных записей.
Сообщайте и/или раскрывайте нам информацию об уязвимостях безопасности только по официальным каналам.
В одном отчете может быть представлена только одна уязвимость, если только это не серия взаимосвязанных уязвимостей, которым необходимо продемонстрировать, как они влияют друг на друга.
Все данные периода тестирования исследования будут удалены немедленно, безопасным и конфиденциальным способом после подачи отчета.
Ограничьте тестирование системами, входящими в сферу действия правил, и уважайте системы и действия, выходящие за рамки правил.
Избегайте использования высокоинтрузивных и/или автоматических сканеров, ищущих уязвимости безопасности.
Никакие проблемы уязвимостей безопасности не могут обсуждаться или раскрываться публично без предварительного письменного согласия Trading Point.
Никогда не выполняйте атаки типа «отказ в обслуживании» на сетевом уровне.
Никогда не проводите какие-либо тесты с использованием социальной инженерии и/или атаки на физическую безопасность офисов, пользователей и/или сотрудников Trading Point.
Никогда не выполняйте автоматические тесты/тестовые сценарии в онлайн-формах, особенно в форме «Свяжитесь с нами» для связи со службой поддержки клиентов.
Если вы подтвердили нарушение безопасности или случайно обнаружили какие-либо конфиденциальные конфиденциальные данные (включая личную информацию (PII), финансовую информацию, конфиденциальную информацию или коммерческую тайну любой стороны), вы должны немедленно прекратить тестирование, немедленно уведомить нас и никому не разглашайте эти данные. В то же время вы также должны практиковать «доказательство концепции» и использовать минимум данных, чтобы эффективно доказать существование этой уязвимости.
2.3 Сообщайте об уязвимостях безопасности / официальные каналы
Вы можете отправлять отчеты о существующих и/или потенциальных уязвимостях безопасности, которые вы обнаружили, и предоставлять всю соответствующую информацию, отправив электронное письмо на адрес уязвимости.disclosure@xmglobal.com. Более подробная информация, которую вы предоставите, поможет нам определить проблему и устранить ее.
Чтобы помочь нам просмотреть классификацию и определить приоритет отчета, мы рекомендуем, чтобы ваш отчет:
Опишите местоположение или проблему приложения, в которой была обнаружена уязвимость, а также потенциальное воздействие, которым можно злоупотребить.
Предоставьте подробные шаги и описания, необходимые для полного воспроизведения уязвимости (включая предоставление сценариев или снимков экрана для проверки концепции).
Постарайтесь предоставить как можно больше подробностей.
Укажите IP-адрес, адрес электронной почты, пользователя/агента, который вы использовали для тестирования уязвимости, а также имя пользователя, используемое в торговой платформе (если таковое имеется).
Если возможно, отправьте отчет на английском языке.
Если вы определите, что это критическая уязвимость безопасности или содержит конфиденциальную конфиденциальную информацию, вы можете связаться с нашей командой, отправив электронное письмо, зашифрованное PGP, с использованием нашего ключа PGP.
2.4 Область применения
а) Системы/услуги, входящие в объем работ
имя веб-домена
https://www.xmforexcn.com
https://xmforexcn.com
Android-приложение для Android
Приложение XM для Android (com.xm.webapp)
iOS-приложение
Приложение XM для iOS (id1072084799)
2) Системы/услуги вне сферы применения
Любые службы (например, сопутствующие услуги), системы или доменные имена, которые явно не перечислены в приведенных выше «системах/службах в рамках области действия», являются системами/службами, выходящими за рамки области действия, и наша компания не разрешает какое-либо тестирование. Кроме того, если вы обнаружите какие-либо уязвимости в системах нашего поставщика, выходящие за рамки настоящей политики, сообщите о них непосредственно этому поставщику в соответствии с политикой раскрытия информации этого поставщика (если таковая имеется). Если вы не уверены, находится ли система в зоне действия, свяжитесь с нами по адресу уязвимости.disclosure@xmglobal.com.
3) Уязвимости безопасности в рамках области применения
SQL-инъекция атаки
Атака с использованием межсайтовых сценариев (XSS-атака)
Уязвимость удаленного выполнения кода (RCE)
Подделка запросов на стороне сервера (SSRF)
Нарушенные уязвимости аутентификации и управления сеансами
Небезопасная уязвимость прямой ссылки на объект (IDOR)
Раскрытие конфиденциальной и чувствительной информации
Уязвимость обхода каталога/пути
Уязвимость локального/удалённого включения файлов
Высокоэффективная подделка межсайтовых запросов (CSRF)
Уязвимость открытого перенаправления на конфиденциальные конфиденциальные параметры
Уязвимость захвата поддомена (обычно, когда возникает проблема захвата поддомена, злоумышленник публикует дружественное сообщение, например: «Веб-сайт находится на обслуживании и будет восстановлен в нормальном состоянии как можно скорее».)
4) Уязвимости безопасности, выходящие за рамки
Эта политика раскрытия уязвимостей безопасности не распространяется на определенные уязвимости безопасности. Эти уязвимости безопасности, выходящие за рамки области применения, включают, помимо прочего:
Проблемы с конфигурацией системы электронной почты, включая механизм проверки электронной почты SPF, метод идентификации электронной почты DKIM и настройки системы проверки электронной почты DMARC.
Не вызывает кликджекинг конфиденциальных и конфиденциальных операций, таких как изменение учетных записей.
Атаки с использованием межсайтовых сценариев XSS (например, злоумышленник обманом заставляет пользователя внедрить код в личный веб-браузер)
Атаки подмены контента, которые оказывают минимальное воздействие (например, атаки с внедрением текста, отличного от HTML).
Обеспечьте минимальную подделку межсайтовых запросов (CSRF) (например, CSRF для форм входа или выхода).
Открытые перенаправления (если не будут доказаны другие последствия для безопасности)
Уязвимость внедрения при возврате каретки с минимальным воздействием (CRLF)
Уязвимость с минимальным воздействием, связанная с внедрением заголовка хоста
В неконфиденциальном конфиденциальном файле cookie отсутствует атрибут HttpOnly или уязвимость идентификационной информации безопасности
Конфигурация протокола безопасности шифрования передачи SSL/TLS не обеспечивает оптимального эффекта конфигурации.
Заголовки безопасности HTTP отсутствуют или неправильно настроены. Например, политика безопасности контента (CSP), строгая транспортная безопасность HTTP (HSTS).
В системе Captcha отсутствует контроль проверочного кода
Перечисление имен пользователей/адресов электронной почты из-за ошибки на странице входа
Ошибка при перечислении имен пользователей/адресов электронной почты из-за забытого пароля.
Пользователям не нужно взаимодействовать друг с другом
Сложность пароля или другие проблемы, связанные с любой политикой учетных записей и/или паролей.
Проблема с недостаточным тайм-аутом сеанса
Атака пароля методом перебора
Проблемы ограничения скорости для некритических операций
Уязвимость WordPress. Отсутствие доказательств возможности использования.
Раскрытие уязвимостей в версиях программного обеспечения, в которых отсутствуют доказательства использования
Любая деятельность, которая может привести к нарушению обслуживания (DoS)
Отсутствие/обход системы root-защиты (приложения)
Проблема с отсутствующим/обойденным SSL-сертификатом (приложение)
Отсутствие обфускации кода (приложения)
2.5 Время ответа
Trading Point придерживается принципа открытости и прозрачности и обязуется координировать с исследователями все программы раскрытия уязвимостей безопасности в следующие сроки реагирования в пределах своих возможностей:
Сначала мы ответим в течение трех (3) рабочих дней (с момента подачи отчета) с первоначальным подтверждением получения вашего отчета.
Проверка и классификация в течение пяти (5) рабочих дней (с момента подачи отчета)
Мы будем информировать вас обо всем ходе инцидента максимально открыто и прозрачно, включая подтверждение существования уязвимости безопасности, объяснение шагов, которые мы предприняли в процессе восстановления, а также наличие каких-либо проблем или особых обстоятельств, которые могут привести к задержки.
Мы ценим и признательны всем, кто тратит время и силы на то, чтобы сообщить об уязвимости безопасности в соответствии с этой политикой. В настоящее время мы не предлагаем никаких вознаграждений за раскрытие уязвимостей безопасности, но это может быть изменено в будущем.
Если у вас есть какие-либо отзывы или предложения по поводу этой политики раскрытия уязвимостей безопасности, свяжитесь с нами по адресу уязвимости.disclosure@xmglobal.com.
Trading Point ценит вашу помощь в обеспечении общей кибербезопасности компании и всех пользователей.
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Загрузите ключ PGP для раскрытия информации об уязвимостях системы безопасности Trading Point
Напоминание: при шифровании сообщений используйте как указанный выше ключ PGP, так и свой личный ключ.