취약성 공개 정책

1. 개요

Trading Point Group(이하 "Trading Point")는 고객 데이터를 보호하기 위해 사이버 보안 커뮤니티에 접근할 필요성을 인식하고 보다 안전한 솔루션 및 애플리케이션을 만들기 위해 협력합니다. 이 정책은 보안 연구자에게 취약성 검색 활동을 수행하기 위한 명확한 지침을 제공하고 발견된 취약성을 당사에 제출하는 방법에 대한 기본 설정을 전달하기 위한 것입니다.

연구자들은 Trading Point 시스템과 관련하여 발견할 수 있는 취약성을 자발적으로 보고하는 것을 환영합니다. 본 정책은 본 정책에서 다루는 시스템 및 연구 유형과 취약성 보고서를 당사에 제출하는 방법을 설명합니다.

취약성 보고서 제출은 이 페이지에 명시된 약관에 따라 결정되며, 연구자는 취약성 보고서를 Trading Point에 제출함으로써 이러한 약관을 읽고 동의했음을 인정합니다.

2. 이용 약관

2.1. 세이프 하버 및 허가

취약성 연구를 수행하고 본 정책을 준수하기 위한 성실한 노력에 따라, 당사는 다음 사항과 같이 귀하의 연구를 고려합니다.

• 귀하의 연구가 적용되는 해킹 방지법과 관련하여 승인된 것으로 간주하며 귀하의 연구를 위해 귀하에 대한 법적 조치를 권장하거나 추구하지 않습니다.

• 귀하의 연구가 관련 우회 방지법에 대해 권한을 부여받았으며, 당사는 기술 통제 회피에 대해 귀하에게 클레임을 제기하지 않을 것입니다.

• 귀하의 연구는 합법적이고, 인터넷의 전반적인 보안에 도움이 되며, 성실하게 수행됩니다.

귀하의 연구는 모든 해당 법률을 준수해야 합니다. 본 정책에 따라 선의로 수행한 활동에 대해 제3자가 귀하를 상대로 법적 조치를 시작하는 경우, 당사는 이에 대해 승인할 것임을 알려드립니다.

귀하의 보안 연구가 본 정책과 일치하는지 여부에 대한 우려가 있거나 불확실한 경우, 계속 진행하기 전에 당사의 공식 채널(아래) 중 하나를 통해 보고서를 제출하시기 바랍니다.

세이프 하버는 본 정책에 참여하는 조직의 통제 하에 있는 법적 권리에만 적용되며, 본 정책은 독립적인 제3자를 법적으로 구속하지 않습니다.

2.2. 지침

본 정책에서 "연구"란 다음과 같은 활동을 의미합니다:

• 실제 또는 잠재적인 보안 문제를 발견한 후 가능한 한 빨리 알려주십시오.

• 개인 정보 침해, 사용자 환경 저하, 운영 시스템 중단, 데이터 파괴 또는 조작을 방지하기 위해 모든 노력을 기울이십시오.

• 취약성의 존재를 확인하는 데 필요한 범위까지만 공격을 허용하십시오. 공격을 사용하여 데이터를 손상 또는 유출, 영구 명령 라인 접근을 설정, 또는 공격을 통해 다른 시스템으로 피벗하지 마십시오.

또한 다음 사항도 지켜주시기 바랍니다:

• 본 정책 및 기타 관련 계약을 준수하는 것을 포함하여 규정을 준수해야합니다. 본 정책과 다른 적용 조건 간에 불일치가 있는 경우 본 정책의 조건이 우선권을 갖습니다.

• 오직 본인의 테스트 계좌와 상호 작용해야 합니다

• 테스트를 위해 계좌 개설을 총 두 개로 제한해야 합니다.

• 오직 공식 채널을 통하여 취약성 정보에 대해 공개하거나 당사와 논의해야 합니다.

• 영향을 입증하기 위해 취약성을 체인으로 연결해야 하는 경우를 제외하고 보고서당 하나의 취약성을 제출해야 합니다.

• 보고서가 제출되면 검색 중에 검색된 모든 데이터를 안전하게 삭제해야 합니다.

• 범위 내 시스템에 대해서만 테스트를 수행하고 범위를 벗어난 시스템 및 활동을 존중해야 합니다.

• 취약성을 찾기 위해 고강도 공격 또는 자동 검색 도구를 사용하지 않도록 해야 합니다.

• Trading Point의 사전 서면 동의 없이 취약성을 공개하지 마십시오.

• "서비스 거부" 공격을 수행하지 마십시오.

• Trading Point의 사무실, 사용자 또는 직원에 대해 소셜 엔지니어링 및/또는 물리적 보안 공격을 수행하지 마십시오.

• 웹 양식, 특히 고객이 당사 고객 관리 팀에 연락할 수 있도록 설계된 "고객 문의" 양식에 대해 자동화/스크립트로 작성된 테스트를 수행하지 마십시오.

취약성이 존재하거나 중요한 데이터(개인 식별 정보(PII), 재무 정보, 소유권 정보 또는 거래 기밀 포함)를 실수로 발견한 경우에는 테스트를 중지하고 당사에 즉시 통보해야 하며 이 데이터를 다른 사용자에게 공개해서는 안 됩니다. 또한 증명을 효과적으로 시연하는 데 필요한 최소 데이터로 액세스를 제한해야 합니다.

2.3. 취약성/공식 채널 보고

보안 문제/실제 또는 잠재적 취약성 발견 사항을 vulnerability.disclosure@xm.com(으)로 보고하여 모든 관련 정보를 제공하십시오. 더 자세한 정보를 제공할수록 문제를 분류하고 해결하는 것이 더 쉬워집니다.

제출의 우선 순위를 지정하고 분류하는 데 도움이 되도록 보고서에 대한 아래의 내용을 준수해주시기 바랍니다:

• 보고서에 취약성이 발견된 위치 또는 응용 프로그램 경로와 공격의 잠재적인 영향을 설명하는 것이 좋습니다.

• 취약성을 재현하는 데 필요한 단계에 대한 자세한 설명을 제공합니다(개념 증명 스크립트 또는 스크린샷이 유용함).

• 가능한 한 많은 세부 정보를 포함합니다.

• 테스트 대상 IP 주소, 전자 메일 주소, 사용자 에이전트 및 거래 플랫폼에서 사용되는 사용자 이름(있는 경우)을 포함합니다.

• 가능하다면 영어로 작성해주십시오.

취약성이 심각하거나 중요한 정보가 포함되어 있다고 생각되는 경우 PGP 키를 사용하여 팀에 PGP 암호화된 전자 메일을 보낼 수 있습니다.

2.4. 범위

a) 범위 내 시스템/서비스

b) 범위를 벗어난 시스템/서비스

위의 "범위 내 시스템/서비스" 섹션에 명시적으로 나열되지 않은 모든 서비스(예: 연결된 서비스), 시스템 또는 도메인은 범위에서 제외되며 테스트를 위해 승인되지 않습니다. 또한 공급업체의 시스템에서 발견된 취약성은 이 정책의 범위를 벗어나며, 공개 정책(있는 경우)에 따라 공급업체에 직접 보고해야 합니다. 시스템이 범위 내에 있는지 여부를 모를 경우 vulnerability.disclosure@xm.com(으)로 문의하십시오.

c) 범위 내 취약성

• SQL 인젝션

• 사이트 간 스크립팅(XSS)

• 원격 코드 실행(RCE)

• 서버 측 요청 위조(SSRF)

• 인증 및 세션 관리 중단

• 안전하지 않은 직접 객체 참조(IDOR 공격)

• 민감한 데이터 노출

• 디렉토리/경로 횡단

• 로컬/원격 파일 포함

• 높은 영향력을 입증할 수 있는 크로스 사이트 요청 위조(CSRF)

• 중요한 매개 변수에 대한 리디렉션 열기

• 서브도메인 테이크오버(서브도메인 테이크오버의 경우 다음과 같은 우호적인 메시지를 추가합니다. "작업 중이며 곧 돌아올 것입니다.")

d) 범위 밖 취약성

특정 취약성은 취약성 노출 프로그램의 범위를 벗어난 것으로 간주됩니다. 특정 취약성은 취약성 노출 프로그램의 범위를 벗어난 것으로 간주됩니다. 이러한 범위를 벗어나는 취약성에는 다음이 포함되지만 이에 국한되지는 않습니다:

• SPF, DKIM, DMARC 설정을 포함한 메일 구성 문제

• 계좌 수정과 같은 중요한 작업으로 이어지지 않는 클릭잭킹 취약성

• Self-XSS(즉, 사용자가 웹 브라우저에 코드를 붙여넣도록 속여야 하는 경우)

• 영향이 결과적으로 최소인 콘텐츠 스푸핑(예: non-HTML 텍스트 주입)

• 영향이 결과적으로 최소인 교차 사이트 요청 위조(CSRF)(예: 로그인 또는 로그아웃 양식의 CSRF)

• 개방형 리디렉션 - 추가적인 보안 영향을 입증할 수 없는 경우

• 영향이 결과적으로 최소인 CRLF

• 영향이 결과적으로 최소인 호스트 헤더 주입

• 중요하지 않은 쿠키에 HttpOnly 또는 Secure 플래그 누락

• SSL/TLS 구성 및 암호에 모범 사례 누락

• HTTP 보안 헤더가 없거나 잘못 구성됨(예: CSP, HSTS)

• 캡차 컨트롤이 없는 양식

• 로그인 페이지를 통한 사용자 이름/전자 메일 열거 오류 메시지

• 암호 분실 오류 메시지를 통한 사용자 이름/전자 메일 열거

• 가능성이 낮은 사용자 상호 작용이 필요한 문제

• 암호 복잡성 또는 계정 또는 암호 정책과 관련된 기타 문제

• 세션 시간 초과 부족

• 무차별 공격

• 중요하지 않은 작업에 대한 속도 제한 문제

• 취약성에 대한 증거가 없는 WordPress 취약성

• 취약성의 증거가 없는 취약한 소프트웨어 버전 노출

• 서비스 중단으로 이어질 수 있는 모든 활동(DoS)

• 루트 보호 부족/루트 보호 우회(모바일 애플리케이션)

• SSL 인증서 고정 부족/SSL 인증서 고정(모바일 애플리케이션) 우회

• 코드 난독화 부족(모바일 애플리케이션)

2.5. 응답 시간

Trading Point는 최대한 공개적이고 신속하게 귀사와 협력하기 위해 최선을 다하고 있으며, 당사 프로그램에 참여하는 연구원을 위해 다음과 같은 응답 목표를 달성하기 위해 최선을 다하겠습니다:

• 첫 회답까지의 시간(보고서 제출일로부터)은 영업일 기준 3일입니다. 영업일 기준 3일 이내에 귀하의 보고서가 접수되었음을 알려드립니다.

• (보고서 제출부터) 분류 기간은 영업일 기준 5일입니다.

당사는 귀사에 대한 취약성의 존재를 최대한 확인하고 해결을 지연시킬 수 있는 문제나 과제뿐만 아니라 교정 프로세스 중에 어떤 조치를 취하고 있는지에 대해 가능한 한 투명하게 대처할 것입니다. 진행 과정 전반에 걸쳐 진행 상황을 지속적으로 알려드리겠습니다.

3. 보상

당사는 본 정책에 따라 보안 취약점을 보고하는 데 시간과 노력을 들이는 분들을 중요하게 생각합니다. 현재 취약성 공개에 대한 보상은 제공하지 않지만 앞으로 변경될 수 있는 사항입니다.

4. 피드백

본 정책에 대한 피드백이나 의견을 제안하려면 vulnerability.disclosure@xm.com로 문의하시기 바랍니다.

Trading Point와 사용자를 안전하게 보호해 주셔서 감사합니다.

5. PGP 키 지문

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

TP 취약성 공개 PGP 키 다운로드

유의: 위의 PGP 키로 메시지를 암호화하고 전자 메일에 자신의 공용 키를 포함하십시오.