Únja már, hogy mindig lemarad a webináriumokról? Bemutatkozik az XM élő oktatása. Tekintse meg itt! LIVE
A Trading Point Group (a továbbiakban, mint „Trading Point”) elismeri, hogy szükség van a kiberbiztonsági közösség megközelítésére az ügyféladatok védelme céljából, és együtt kell működni a biztonságosabb megoldások és alkalmazások létrehozása érdekében. Jelen szabályzat célja, hogy egyértelmű útmutatásokkal szolgáljon a biztonsági kutatóknak a sérülékenység-felderítési tevékenységek végrehajtásához, és bemutassa, hogyan szeretnénk a feltárt sérülékenységek beküldését cégünknek.
Örömmel vesszük, ha a kutatók önként jelentik a Trading Point rendszereivel kapcsolatos sérülékenységeket. Ebben a szabályzatban bemutatjuk, hogy milyen rendszerekre és milyen típusú kutatásokra vonatkozik ez a szabályzat, valamint hogyan kell beküldeni nekünk a sérülékenységi jelentéseket.
A sérülékenységi jelentések beküldése az ezen az oldalon szereplő felhasználási feltételek szerint történik, és a sérülékenységi jelentés Trading Pointnak történő beküldésével a kutatók elismerik, hogy elolvasták és beleegyeznek ezekbe a felhasználási feltételekbe.
Amikor Ön a jelen szabályzat betartására tett jószándékú erőfeszítéssel végez sérülékenységi kutatást, a kutatását:
a hackelés elleni hatályos törvények vonatkozásában engedélyezettnek tekintjük, és nem javaslunk, illetve nem teszünk jogi lépéseket Ön ellen a kutatása miatt.
a kijátszás elleni hatályos törvények vonatkozásában engedélyezettnek tekintjük, és nem nyújtunk be Ön ellen keresetet a műszaki felügyelet kijátszása miatt.
törvényesnek, az internet általános biztonságát elősegítőnek, valamint jóhiszeműen végzettnek tekintjük.
Önnek minden vonatkozó törvényt be kell tartania. Ha egy harmadik fél jogi lépést kezdeményez Ön ellen a jelen szabályzat szerint jóhiszeműen végrehajtott tevékenységei miatt, közzétesszük ezt az engedélyezést.
Ha bármikor aggályai merülnének fel, vagy bizonytalan lenne azt illetően, hogy biztonsági kutatása megfelel-e a jelen szabályzatnak, küldjön be egy jelentést valamelyik (az alábbiakban meghatározott) hivatalos csatornánkon keresztül, mielőtt folytatná tevékenységét.
Felhívjuk figyelmét, hogy a mentesítés csak a jelen szabályzatban részt vevő szervezet irányítása alá tartozó jogi követelésekre vonatkozik, és a szabályzat független külső felek számára nem kötelező érvényű.
A jelen szabályzat szerint a „kutatás” olyan tevékenységeket jelent, amelyek során Ön az alábbiakat teszi:
Egy valós vagy potenciális biztonsági probléma felfedezése után a lehető leghamarabb értesít bennünket.
Mindent megtesz azért, hogy elkerülje az adatvédelmi szabálysértéseket, a felhasználói élmény lerontását, a gyártási rendszerek működésének megszakítását, valamint az adatok megsemmisítését vagy manipulálását.
Csak olyan mértékben használja az exploitokat, amennyire a sérülékenység igazolásához szükséges. Ne használjon exploitokat adatok kompromittálására vagy kivonására, állandó parancssor hozzáférés létrehozására, továbbá ne használja az exploitokat más rendszerekbe történő beférkőzésre.
Emellett a következőkre is megkérjük:
Tartsa be a szabályokat, többek között a jelen szabályzatot és minden más vonatkozó megállapodást. Amennyiben ellentmondás fedezhető fel a jelen szabályzat és egy másik vonatkozó feltétel között, a jelen szabályzat feltételei irányadók.
Csak a saját tesztszámláját használja.
Tesztelés céljából korlátozza a számlanyitásokat összesen két (2) számlára.
Csak a hivatalos csatornákat használja a sérülékenységi információk felénk történő feltárására és/vagy megbeszélésére.
Jelentésenként egy sérülékenységet küldjön be, amennyiben nem szükséges a sérülékenységek láncolatával demonstrálnia a hatást.
A jelentés beküldését követően biztonságosan törölje a kutatás során kinyert összes adatot.
Csak a hatókörön belüli rendszereken végezzen tesztelést, és tartsa tiszteletben a hatókörön kívüli rendszereket és tevékenységeket.
Kerülje a nagy intenzitású, invazív vagy automatizált keresőeszközök használatát a sérülékenységek kereséséhez.
A Trading Point előzetes írásbeli beleegyezése nélkül ne hozzon nyilvánosságra semmilyen sérülékenységet.
Ne hajtson végre „szolgáltatás-megtagadás” támadást.
Ne hajtson végre pszichológiai befolyásolást és/vagy fizikai biztonsági támadást a Trading Point irodái, felhasználói vagy alkalmazottai ellen.
Ne végezze internetes űrlapok, különösen az ügyfelek az ügyfélélményért felelős munkatársainkkal való kapcsolatfelvételére szolgáló „Kapcsolatfelvétel” űrlapok automatizált/szkript alapú tesztelését.
Amint megállapította egy sebezhetőség meglétét, vagy véletlenül valamilyen érzékeny adatot talál (például személyesen azonosítható információkat (PII), pénzügyi adatokat, tulajdonosi adatokat vagy bármelyik fél kereskedelmi titkait), le kell állítania a tesztelését, azonnal értesítenie kell bennünket, és tilos bárki másnak felfednie ezeket az adatokat. Emellett hozzáférését a koncepció igazolásának hatékony demonstrálásához szükséges minimális adatra kell korlátoznia.
A biztonsági problémákat / tényleges vagy potenciális sérülékenységi eredményeket a vulnerability.disclosure@xmglobal.com címre küldje el, minden vonatkozó információ megadásával. Minél több részletet oszt meg velünk, annál könnyebben tudjuk osztályozni és korrigálni a problémát.
Hogy megkönnyíthesse számunkra a beadványok osztályozását, javasoljuk, hogy jelentései felejenek meg az alábbi feltételeknek:
Mutassák be a helyet vagy az alkalmazási útvonalat, ahol a sérülékenységet felfedezte, és a hiba kihasználásának lehetséges hatását.
Tartalmazzák a sérülékenység reprodukálásához szükséges lépések részletes leírását (hasznosak lehetnek a koncepció bizonyításának leírásai vagy a képernyőképek).
A lehető legtöbb részletet tartalmazzák.
Szerepeljen bennük az IP-cím, amelyről a tesztelést végezte, az e-mail cím, a felhasználói ügynök és a felhasználónév/felhasználónevek, amelyeket a kereskedési platformon használt (amennyiben használt).
Lehetőség szerint angol nyelvűek legyenek.
Ha úgy véli, hogy a sérülékenység súlyos, vagy érzékeny információkat tartalmaz, PGP-kulcsunkat használva küldhet PGP titkosítással írt e-mailt a munkatársainknak.
Tartományok | Android alkalmazás | iOS alkalmazás |
---|---|---|
XM Android alkalmazás (com.xm.webapp) |
XM iOS alkalmazás (id1072084799) |
A „Hatókörön belüli rendszerek / szolgáltatások” című részben kifejezetten nem felsorolt szolgáltatások (pl. kapcsolt szolgáltatások), rendszerek vagy tartományok ki vannak zárva a hatókörből, és tesztelésük nem engedélyezett. Továbbá a forgalmazóinktól származó rendszerekben talált sérülékenységek is kívül esnek a jelen szabályzat hatókörén, és ezeket közvetlenül a forgalmazónak kell jelenteni annak saját közzétételi szabályzata szerint (ha van). Ha nem biztos abban, hogy egy bizonyos rendszer beletartozik-e a hatókörbe, forduljon hozzánk a vulnerability.disclosure@xmglobal.com e-mail címen.
SQL-injektálás
weboldalak közötti szkriptelés (XSS)
távoli kódfuttatás (RCE)
szerveroldali kéréshamisítás (SSRF)
sérült hitelesítés és munkamenet-kezelés
nem biztonságos közvetlen objektumhivatkozás (IDOR)
érzékeny adatok kitettsége
könyvtár-/útkeresztezés
helyi / távoli fájlbefoglalás
weboldalak közötti kéréshamisítás (CSRF) kimutatható nagy hatással
nyílt átirányítás érzékeny paraméterekre
altartomány-átvétel (altartomány-átvétel esetén adjon hozzá egy barátságos üzenetet, pl. „Dolgozunk rajta, hamarosan visszatérünk.”)
Bizonyos sérülékenységek a sérülékenységek közzétételére vonatkozó program szempontjából hatókörön kívülinek számítanak. Többek között a következő sérülékenységek tartoznak ide:
e-mail konfigurációs problémák, például SPF, DKIM, DMARC beállítások
olyan kattintáseltérítéses sérülékenységek, amelyek nem vezetnek érzékeny műveletekhez, például fiókmódosításhoz
manipulált önkéntes weboldalak közötti szkriptelés (self-XSS, amikor a felhasználót manipulatív módszerekkel ráveszik, hogy kódot másoljon be a saját internetes böngészőjébe)
tartalomhamisítás, amikor az ebből következő hatás minimális (pl. nem HTML szöveg injektálás)
olyan weboldalak közötti kéréshamisítás (CSRF), amikor az ebből következő hatás minimális (pl. CSRF bejelentkezési vagy kijelentkezési űrlapokon)
nyílt átirányítás, amely esetében nem lehet kimutatni további biztonsági hatást
olyan CRLF (kocsi vissza, sortáplálás) injekció támadások, ahol az ebből következő hatás minimális
olyan host fejléc injekció, ahol az ebből következő hatás minimális
hiányzó HttpOnly vagy Biztonságos jelölők nem érzékeny sütiken
hiányzó legjobb gyakorlatok az SSL (Secure Sockets Layer) / TLS (Közlekedési réteg biztonsága) konfigurációban és a rejtjelezőkben
hiányzó vagy hibásan konfigurált HTTP biztonsági fejlécek (pl. tartalombiztonsági szabályzat (CSP), HTTP szigorú átvételi biztonsága (HSTS))
űrlapok, amelyekről hiányoznak a Captcha vezérlők
felhasználónév / e-mail cím felsorolás bejelentkezési oldal hibaüzenet segítségével
felhasználónév / e-mail cím felsorolás elfelejtett jelszó hibaüzenet segítségével
valószínűtlen felhasználói együttműködést igénylő problémák
jelszó összetettsége, vagy a fiók- ill. jelszószabályzatokhoz kapcsolódó bármilyen más probléma
munkamenet-időtúllépés hiánya
teljes kipróbálás módszerén alapuló (brute-force) támadások
sebességkorlát problémák nem kritikus műveletek esetén
WordPress sérülékenységek a kihasználhatóság bizonyítéka nélkül
szoftververzió sérülékenységének közzététele a kihasználhatóság bizonyítéka nélkül
olyan művelet, amely szolgáltatásunk leállásához vezethet (DoS)
gyökérvédelem hiánya / gyökérvédelem elkerülése (mobilalkalmazások)
SSL tanúsítvány kitűzésének hiánya / SSL tanúsítvány kitűzésének elkerülése (mobilalkalmazások)
kód-obfuszkáció hiánya (mobilalkalmazások)
A Trading Point elkötelezetten törekszik arra, hogy a lehető legnyíltabban és leggyorsabban egyeztessen Önnel, és minden tőlünk telhetőt megteszünk azért, hogy teljesítsük a következő válaszidőket a programunkban részt vevő kutatók felé:
(A jelentés beküldésének napjától számítva) az első válaszig tartó idő három (3) munkanap. Három munkanapon belül nyugtázzuk, hogy megkaptuk az Ön jelentését.
(A jelentés beküldésétől számítva) az osztályozásig tartó idő öt (5) munkanap.
Legjobb tudásunk szerint megerősítjük Önnek a sérülékenység meglétét, és a lehető legátláthatóbb módon tájékoztatjuk arról, hogy milyen lépéseket fogunk tenni a helyreállítási folyamat alatt, valamint arról, hogy milyen problémák vagy nehézségek hátráltathatják a megoldást. A teljes folyamat során tájékoztatjuk Önt az előrehaladásunkról.
Nagyon hálásak vagyunk azoknak, akik időt és erőfeszítést szánnak arra, hogy a jelen szabályzat szerint bejelentsék a biztonsági sérülékenységeket. Pillanatnyilag azonban nem kínálunk fel jutalmat a sérülékenységek közzétételéért. Ez a későbbiekben változhat.
Amennyiben visszajelzése vagy javaslata lenne ezzel a szabályzattal kapcsolatban, forduljon hozzánk e-mailben a vulnerability.disclosure@xmglobal.com címen.
Köszönjük, hogy Ön is segíti a Trading Point és felhasználóink védelmét.
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Töltse le a Trading Point sérülékenység-közzétételi PGP-kulcsát.
Megjegyzés: titkosítsa üzeneteit a fenti PGP-kulccsal, és mellékelje a saját nyilvános kulcsát az e-mailben.
Kockázati figyelmeztetés: a tőkeáttételes termékekkel folytatott kereskedés jelentős kockázatnak teszi ki befektetett tőkéjét, és nem feltétlenül megfelelő minden befektető számára. Kérjük, olvassa el a kockázati figyelmeztetés erre vonatkozó részleteit.