安全漏洞披露政策

1. 简介

Trading Point Group(简称“Trading Point”)致力于保护客户及其数据安全,因此高度重视与互联网安全社区建立合作关系,共同创建保障安全性的解决方案和应用程序。安全漏洞披露政策旨在鼓励所有互联网安全研究和测试人员协助查找和发现漏洞或其它安全问题,且及时向我们提交明确的回馈意见。

任何人在发现了 Trading Point 系统的相关漏洞或其它安全问题,欢迎随时向我们提供回馈意见。本政策概述了公司系统和市场分析类型的定义,以及如何提交安全漏洞报告的步骤。

本政策的所有条款与条例适用于所有提交的安全漏洞报告,安全研究测试人员若选择提交安全漏洞报告给Trading Point,即是承认已详阅并同意遵循所有相关条款与条例。

2. 条款与条例

2.1 安全港 / 授权

您在研究测试和汇报安全漏洞时,只要您秉持诚信原则遵循本政策条款与条例,我司也承诺:

  • 只要您的研究测试获得任何适用的反黑客法规授权,我们将不会考虑或针对您的研究测试采取法律行动。

  • 只要您的研究测试获得任何反规避法规的授权,我们将不会因为您扰乱技术控制秩序而向您索赔。

  • 合法并且秉持诚信态度执行,旨在提高互联网的整体安全性。

您必须遵循所有适用法规。如果您遵循本政策的条款与条例,并且秉持诚信态度所展开的研究和测试活动,遭到第三方向您提起法律诉讼,我们将公告授权。

您若有任何疑虑或不确定您的安全漏洞研究和测试是否遵循本政策条规与条例,在您继续研究和测试之前,欢迎随时通过官方渠道咨询(如下文所述)。

请注意,安全港仅适用于同意遵循本政策规范的组织,此政策无法管理约束独立第三方。

2.2 指南

根据本政策定义,您所执行的“研究”活动即是:

  • 在研究和测试活动期间,一旦发现任何已存在或潜在的安全漏洞,请立即通知我们。

  • 在研究和测试活动期间致力于避免侵犯隐私、降低用户体验、干扰生产系统,以及破坏或恶意操控数据。

  • 在研究和测试活动期间使用的安全漏洞,仅限于用以确认并证明安全漏洞存在的必要程度内。切勿滥用漏洞破坏或外泄数据、不可建立可持续执行的命令行接口,和/或滥用漏洞导向第三方系统。

同时,您必须遵守下列准则:

  • 遵守所有相关条规,包括遵守本政策和任何其它相关协议。如果本政策和任何其它适用条规之间出现不一致或冲突情况,皆以本政策条规为准。

  • 仅限于与您的测试账户进行交互流程。

  • 任何安全漏洞测试仅限于创建最多两(2)个账户。

  • 仅限通过官方渠道向我们报告和/或披露安全漏洞信息。

  • 每份报告仅限提交一个漏洞,除非是一系列互相连接的漏洞且需要证明如何互相影响。

  • 在提交报告后,立即以安全保密的方式删除研究测试期间的所有数据。

  • 仅限于测试规定范围内的系统,且尊重规定范围之外的系统和活动。

  • 避免使用高强度侵入性和/或自动扫描器搜寻安全漏洞。

  • 在未获得Trading Point事先书面同意之前,不得公开讨论或披露任何安全漏洞问题。

  • 切勿执行任何网络级别“拒绝服务”攻击。

  • 切勿对Trading Point办公室、用户和/或员工进行任何类型的社会工程测试和/或物理安全攻击。

  • 切勿对在线表格执行自动化测试/测试脚本,特别是联系客服团队的“联系我们”表格。

如果您已确认存在安全漏洞,或是您无意中发现任何机密敏感数据(包括个人可识别信息(PII)、财务信息、专有信息,或是任何一方的商业机密),您必须立即停止测试,马上通知我们,并且不得向任何人透露此数据信息。同时,您也必须实践“概念证明”,使用最小化的数据,有效证明这个漏洞的存在。

2.3 报告安全漏洞 / 官方渠道

您可以发送邮件至 vulnerability.disclosure@xmglobal.com,提交您发现的已存在和/或潜在的安全漏洞问题报告,并提供所有相关信息。您提供的信息越详细,将有助于我们检查分类和修复问题。

为帮助我们检查分类和鉴别报告的优先重要性,我们建议您的报告:

  • 描述发现漏洞的位置或应用程序问题,以及可被滥用的潜在影响。

  • 提供完整重现漏洞所需的详细步骤和描述(包括提供概念证明脚本或截图)

  • 尽量提供更多细节。

  • 请提供您测试漏洞使用的IP地址、邮箱、用户/代理,以及交易平台中使用的用户名称(如有)。

  • 如果可以,请提交英文报告。

如果您判断此为严重安全漏洞或包含机密敏感信息,您可以使用我们的PGP密钥发送PGP加密邮件联系我们的团队。

2.4 范围

一)范围内的系统/服务

网页域名

https://www.xm.comhttps://my.xm.com

Android安卓应用程序

XM Android安卓应用程序(com.xm.webapp)

iOS应用程序

XM iOS应用程序(id1072084799)

二)范围之外的系统/服务

所有上述“范围内的系统/服务”并未明确列入的任何服务(例如关联服务)、系统或域名,均为范围之外的系统/服务,我司不授权进行任何测试。此外,如果发现我们的供应商系统中存在任何漏洞,也是本政策范围之外的漏洞,请根据该供应商的披露政策(如有)直接向该供应商报告。如果您不确定某个系统是否在范围内,请发送邮件至 vulnerability.disclosure@xmglobal.com 联系我们。

三)范围内的安全漏洞

  • SQL注入攻击

  • 跨站脚本攻击(XSS攻击)

  • 远程代码执行漏洞(RCE)

  • 服务器端请求伪造(SSRF)

  • 失效的身份认证与会话管理漏洞

  • 不安全的直接对象引用漏洞(IDOR)

  • 机密敏感信息暴露

  • 目录/路径遍历漏洞

  • 本机端/远端文件包含漏洞

  • 具有高影响力的跨站请求伪造(CSRF)

  • 开放式重定向至机密敏感参数漏洞

  • 子域名劫持漏洞(通常发生子域名劫持问题时,攻击者会发布友好消息,例如:“网站正在维修中,将会尽快恢复正常”。)

四)范围之外的安全漏洞

本安全漏洞披露政策不包含某些安全漏洞,这些超出范围之外的安全漏洞包括但不限于:

  • 邮件系统配置问题,包括SPF邮件验证机制、DKIM识别邮件方法和DMARC邮件验证系统设置

  • 不会造成机密敏感操作的点击劫持,例如修改账户

  • Self-XSS跨站脚本攻击(如,攻击者诱骗用户将代码注入至个人网络浏览器中)

  • 产生最低影响的内容诈欺攻击(例如,非HTML文本注入攻击)

  • 产生最低影响的跨站请求伪造(CSRF)(例如,登录或登出表格的CSRF)

  • 开放式重定向(除非能证实将造成其它安全影响)

  • 产生最低影响的回车换行(CRLF)注入攻击漏洞

  • 产生最低影响的Host标头注入攻击漏洞

  • 非机密敏感型 Cookie 缺少 HttpOnly 属性或安全标识漏洞

  • SSL/TLS的传输加密安全协议配置并未达到最佳配置效果

  • 缺少或配置错误的HTTP安全标头。例如,内容安全策略(CSP)、HTTP严格传输安全(HSTS)

  • Captcha系统缺少验证码控件

  • 因登录页面出现错误而枚举用户名/电子邮件

  • 因忘记密码出现错误而枚举用户名/电子邮件

  • 用户无需互动交流的问题

  • 密码复杂性,或任何账户和/或密码政策相关的其它问题

  • 会话超时不足问题

  • 暴力破解密码攻击

  • 非关键性操作的速率限制问题

  • 缺乏可利用性证据的WordPress漏洞

  • 缺乏可利用证据的软件版本漏洞披露

  • 任何可能造成服务中断(DoS)的活动

  • 缺乏/绕过root保护系统(应用程序)

  • 缺乏/绕过SSL证书锁定问题(应用程序)

  • 缺乏代码混淆(应用程序)

2.5 回应时间

Trading Point秉持公开透明原则,承诺在能力所及范围内,致力于在下列回应时间内与所有安全漏洞披露计划的研究人员协调处理:

  • 我们将在三(3)个工作日内(从提交报告开始)首次回复,初步确认已收到您的报告。

  • 五(5)个工作日内检测分类(从提交报告开始)

我们将尽可能公开透明的通知您整个事件进度,包括向您确认安全漏洞的存在,并且说明我们在修复过程中采取的步骤,以及是否出现任何可能造成延迟的问题或特殊情况。

3. 奖励

我们高度重视且十分感谢任何愿意花费时间和精神,遵循本政策条规报告安全漏洞所有人。目前我们没有提供任何安全漏洞披露奖励,不过未来有可能会做出相应调整。

4. 反馈与建议

如果您对该安全漏洞披露政策有任何反馈或建议,请发送邮件至 vulnerability.disclosure@xmglobal.com 联系我们。

Trading Point十分感谢您协助维护公司和所有用户的整体网络安全。

5. PGP公开密钥指纹

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

提醒:在加密邮件时,请同时使用上述 PGP 密钥和您的个人密钥。