Эмзэг Байдлыг Илчлэх Бодлого

1. Танилцуулга

Trading Point Group (цаашид “Trading Point” гэх) нь хэрэглэгчийн мэдээллийг хамгаалах, илүү аюулгүй шийдэл, аппликейшн бүтээх зорилгоор кибер аюулгүй байдлын нийгэмлэгтэй хамтран ажиллах шаардлагыг хүлээн зөвшөөрдөг. Энэхүү бодлого нь аюулгүй байдлын судлаачдад сул тал илрүүлэх үйл ажиллагааг хэрхэн явуулах талаар тодорхой удирдамж өгөх, мөн илрүүлсэн сул талыг бидэнд хэрхэн мэдэгдэх талаарх манай хүсэл сонирхлыг хүргэх зорилготой юм.

Судлаачид Trading Point-ийн системтэй холбоотой илэрч болох сул талыг сайн дураараа бидэнд мэдүүлэх боломжтой. Энэхүү бодлого нь ямар системүүд, ямар төрлийн судалгаа уг бодлогын хүрээнд хамрагдах, мөн сул талын тайланг бидэнд хэрхэн илгээх талаар тодорхой мэдээллийг агуулдаг.

Сул талын тайланг илгээх нь энэхүү хуудсан дээр заасан нөхцөл, болзлын дагуу явагдана. Судлаачид Trading Point-д сул талын тайлан илгээхдээ эдгээр нөхцөл, болзлыг уншиж танилцсан бөгөөд зөвшөөрсөн гэж хүлээн зөвшөөрнө.

2. Үйлчилгээний Нөхцөл

2.1. Аюулгүйн баталгаа / Зөвшөөрөл

Сул талын судалгааг явуулахдаа энэхүү бодлогыг дагаж мөрдөх сайн санааны хүчин чармайлт гаргасан тохиолдолд бид таны судалгааг дараах байдлаар авч үзнэ:

  • Холбогдох аливаа хакерын эсрэг хууль тогтоомжийн талаар эрх бүхий бөгөөд бид таны судалгаанд зориулж таны эсрэг хуулийн арга хэмжээ авахыг санал болгохгүй.

  • Та бүх зүйлд хандах ёстой. Хэрэв та хуулийн дагуу шударгаар хийсэн үйл ажиллагааныхаа төлөө гуравдагч этгээд таны эсрэг арга хэмжээг авах юм бол бид үүнийг хууль ёсны эрхийг нээх болно.

  • Хуульд нийцсэн, интернетийн аюулгүй байдлыг хангахад тустай, үнэнч шударгаар хийгдсэн.

Та холбогдох бүх хуулийг дагаж мөрдөх ёстой. Хэрэв та энэхүү бодлогын дагуу шударгаар хийсэн үйл ажиллагааныхаа төлөө гуравдагч этгээд таны эсрэг хуулийн арга хэмжээ авах юм бол бид энэ зөвшөөрлийг мэдэгдэх болно.

Хэрэв танд ямар ч үед санаа зовж байгаа эсвэл таны аюулгүй байдлын судалгаа энэ бодлогод нийцэж байгаа эсэхэд эргэлзэж байвал цааш явахаасаа өмнө манай албан ёсны сувгуудын аль нэгээр (доор тодорхойлсон) тайлангаа илгээнэ үү.

Аюулгүйн баталгаа нь зөвхөн энэхүү бодлогод оролцож буй байгууллагын хяналтан дор байгаа хууль ёсны нэхэмжлэлд хамаарах бөгөөд бодлого нь бие даасан гуравдагч этгээдэд хамаарахгүй гэдгийг анхаарна уу.

2.2. Зааварчилгаа

Энэхүү бодлогын дагуу "судалгаа" гэж дараахь үйл ажиллагааг хэлнэ.

  • Бодит эсвэл болзошгүй аюулгүй байдлын асуудлыг олж мэдсэнийхээ дараа бидэнд аль болох хурдан мэдэгдээрэй.

  • Нууцлалыг зөрчих, хэрэглэгчийн туршлагыг доройтуулах, үйлдвэрлэлийн системд саад учруулах, өгөгдлийг устгах, ашиглахаас зайлсхийхийн тулд бүх хүчин чармайлтаа гарга.

  • Зөвхөн эмзэг байдал байгаа эсэхийг баталгаажуулахын тулд мөлжлөгийг ашиглах хэрэгтэй. Өгөгдлийн нууцлалыг алдагдуулах, задлах, командын шугамын байнгын хандалтыг бий болгох, бусад систем рүү эргүүлэхэд ашиглахыг хориглоно.

Та мөн дараахи зүйлсийг хийхийг хүсч байна:

  • Энэ бодлого болон бусад холбогдох гэрээг дагаж мөрдөх зэрэг дүрмийн дагуу тоглоорой. Хэрэв энэ бодлого болон холбогдох бусад нөхцлийн хооронд ямар нэгэн зөрчил гарвал энэхүү бодлогын нөхцөлийг баримтална.

  • Зөвхөн өөрийн туршилтын бүртгэлтэй харьц.

  • Бүртгэл үүсгэхийг аливаа туршилтын нийтдээ хоёр (2) дансаар хязгаарлаарай.

  • Бидэнтэй эмзэг байдлын мэдээллийг задруулах ба/эсвэл хэлэлцэхийн тулд зөвхөн албан ёсны сувгуудыг ашиглана уу.

  • Үр нөлөөг харуулахын тулд эмзэг байдлыг гинжлэх шаардлагагүй бол тайлан бүрт нэг эмзэг байдлыг оруулна уу.

  • Тайланг илгээсний дараа судалгааны явцад олж авсан бүх өгөгдлийг аюулгүйгээр устгана.

  • Туршилтыг зөвхөн хамрах хүрээний системүүд дээр хийж, хамрах хүрээнээс гадуурх систем, үйл ажиллагааг хүндэтгэх.

  • өндөр нягтралтай, халдлагын болон автоматжуулсан сканнердах хэрэгслийг ашиглахгүй байх

  • Trading Point-ийн урьдчилан бичгээр өгсөн зөвшөөрөлгүйгээр аливаа эмзэг байдлыг олон нийтэд илчилж болохгүй

  • Denial of Service (үйлчилгээний тасалдал) халдлагыг гүйцэтгэхгүй байх

  • Trading Point-ийн оффисууд, хэрэглэгчид, эсвэл ажилтнууд дээр нийгмийн инженерчлэл болон/эсвэл биеийн аюулгүй байдлын халдлага хийхгүй байх

  • вэб формуудын автоматжуулсан/скриптчилсэн тест хийхгүй байх, ялангуяа хэрэглэгчид бидний хэрэглэгчийн үйлчилгээний багтай холбогдох зорилгоор зохиогдсон "Бидэнтэй холбогдох" формыг

Хэрэв та сул талын оршин байдлыг тогтоосон бол эсвэл санамсаргүй байдлаар ямар нэгэн эмзэг мэдээлэл (хувийн мэдээлэл /PII/, санхүүгийн мэдээлэл, өмчийн мэдээлэл, эсвэл аливаа талын худалдааны нууц) илрүүлсэн бол таны тестийг зогсоох, бидэнд даруй мэдэгдэх, мөн уг мэдээллийг хэн нэгэнд задруулахгүй байх шаардлагатай. Та мөн үзэл баримтлалын баталгааг үр дүнтэй харуулахад шаардагдах хамгийн бага өгөгдөлд хандах эрхээ хязгаарлах хэрэгтэй

2.3. Сул Талыг Мэдэгдэх / Албан Ёсны Сувгууд

vulnerability.disclosure@xm.com хаягаар дамжуулан аюулгүй байдлын асуудал / бодит болон болзошгүй эмзэг байдлын талаар мэдээлнэ үү. Та илүү дэлгэрэнгүй мэдээлэл өгөх тусам бид асуудлыг шалгаж, засахад хялбар байх болно.

Илгээлтүүдийг ангилж, эрэмбэлэхийн тулд бид дараах тайлангуудыг хийхийг зөвлөж байна.

  • Сул тал илэрсэн байршил эсвэл аппликейшний замнал (path)-ыг тодорхой тайлбарлаж, хэрэв уг сул талыг ашиглавал ямар нөлөө, эрсдэл үүсэж болзошгүйг мэдээлнэ үү.

  • Cул талын дахин давтаж шалгах боломжтой байхаар шаардлагатай бүх алхамыг дэлгэрэнгүй тайлбарлана уу (proof‑of‑concept скрипт, скриншот хавсаргавал илүү үр дүнтэй).

  • Аль болох олон дэлгэрэнгүй мэдээллийг оруулаарай.

  • Арилжааны платформд ашигласан и-мэйл хаяг, хэрэглэгчийн агент, хэрэглэгчийн нэр (хэрэв байгаа бол) -ийг туршиж үзсэн IP хаягаа оруулна уу.

  • Боломжтой бол англи хэлтэй байх.

Хэрэв та сул талын байдал нь ноцтой гэж үзэж байгаа эсвэл сул талын мэдээлэл агуулж байгаа бол манай багт PGP түлхүүр ашиглан шифрлэгдсэн имэйлээр илгээж болно.

2.4. Хамрах хүрээ

a) Хамрах Хүрээний Системүүд/Үйлчилгээнүүд

Домэйнууд

https://www.xm.comhttps://my.xm.com

Aндроид апп

XM Андройд програм (com.xm.webapp)

iOS апп

XM iOS аппликейшн (id1072084799)

б) Хамрах хүрээнээс гадуурх систем/үйлчилгээ

Дээрх "Хүснэгтэд Орсон Системүүд/Үйлчилгээүүд" хэсэгт тодорхой заагдаагүй ямар ч үйлчилгээ (холбогдсон үйлчилгээ гэх мэт), систем эсвэл домайн нь хүрээнээс гадуур байна бөгөөд шалгалт хийх зөвшөөрөлгүй. Мөн манай нийлүүлэгчдийн системүүдэд олдсон аюулгүй байдлын эмзэг байдал нь энэ бодлогын хүрээнээс гадуур орж, тэдний ил болгосон бодлогын дагуу шууд нийлүүлэгчдэд мэдэгдэж өгөх ёстой (хэрэв тийм бодлого байгаа бол). Хэрэв та ямар нэгэн систем хүрээнд орж байгаа эсэхийг мэдэхгүй байгаа бол бидэнтэй vulnerability.disclosure@xm.com хаягаар холбогдоно уу.

c) Бодлогын хүрээнд хамрагдах сул талууд

  • SQL оролт

  • Сайт хоорондын скрипт (XSS)

  • Алсын зайнаас код гүйцэтгэх (RCE)

  • Сервер талын хүсэлтийг хуурамчаар үйлдэх (SSRF)

  • Баталгаажуулалт болон сессийн менежмент

  • Аюулгүй шууд объектын лавлагаа (IDOR)

  • Эрсдэлт мэдээлэл илрэлт

  • Directory Traversal

  • Орон нутгийн/алсын файл оруулалт

  • Сайт хоорондын хүсэлтийг хуурамчаар үйлдэх (CSRF) маш их нөлөөтэй үйлдэл

  • Мэдрэмжтэй параметрүүд дээр дахин чиглүүлэлт нээх

  • Дэд домэйныг авах (дэд домайныг авахын тулд "Бид үүн дээр ажиллаж байна, бид удахгүй буцаж ирнэ" гэх мэт ээлтэй мессеж нэмнэ үү.)

г) Хамрах хүрээнээс гадуурх сул талууд

Зарим эмзэг байдлыг "Эмзэг байдлыг тодруулах хөтөлбөр"-ийн хамрах хүрээнээс гадуур гэж үздэг. Хамрах хүрээнээс гадуурх эдгээр сул талууд нь дараахь зүйлийг агуулдаг боловч үүгээр хязгаарлагдахгүй.

  • Шуудангийн тохиргооны асуудлуудад SPF, DKIM, DMARC тохиргоо орно

  • Хаягийн мэдээлэл өөрчлөх зэрэг мэдрэмтгий үйлдэлд хүргэдэггүй clickjacking төрлийн сул талууд.

  • Self-XSS (жишээ нь, хэрэглэгчийг өөрийг нь кодыг веб хөтчийнхөө дээр хуулж оруулахад алдартай болгох хэрэгтэй)

  • контентын хуурамч байдал, үүнд үр дагавар нь хамгийн бага байдалтай байдаг (жишээ нь, HTML биш текстийн оруулга)

  • Сайт хоорондын хүсэлтийг хуурамчаар үйлдэх (CSRF) бага нөлөөтэй үйлдэл (жиш. нэвтрэх эсвэл гарах хуудасны CSRF)

  • Open Redirect — аюулгүй байдалд нэмэлт нөлөө үзүүлэхгүй бол

  • Carriage Return Line Feed (CRLF) халдлагууд, бага нөлөөтэй байна

  • Хост толгой хэсэг оруулга (Host Header Injection), улмаар үүссэн нөлөө нь хамгийн бага

  • Эмзэг биш күүки дээр HttpOnly эсвэл Secure flags байхгүй

  • SSL/TLS тохиргоо болон шифрүүдийн хамгийн сайн туршлагууд дутуу байгаа

  • HTTP аюулгүй байдал толгой хэсэг (жишээ нь, CSP, HSTS) дутуу эсвэл буруу тохируулагдсан

  • Формууд дээр Captcha хяналтууд дутуу байгаа

  • "Нэвтрэх хуудас"-ны алдааны мессежээр хэрэглэгчийн нэр/имэйл тодорхойлох

  • "Нууц үгээ мартсан" хуудас дахь хэрэглэгчийн нэр/имэйлийн тооллого алдааны мессежээр

  • Хэрэглэгчийн харилцан үйлчлэлийг шаарддаггүй асуудлууд

  • нууц үгийн төвшний шаардлага эсвэл данс болон нууц үгийн бодлоготой холбоотой аливаа асуудал

  • сессийн хугацаа дуусахгүй байх

  • брут хүчний халдлагууд

  • Онц чухал биш үйлдлүүдийн хувь хэмжээг хязгаарлах асуудал

  • WordPress-ийн аюулгүй байдлын аюулгүй байдал, ашиглах нөөц нотолгоо байхгүй

  • Програм хангамжийн эмзэг хувилбарыг ашиглах боломжтойг нотлохгүйгээр задруулах

  • Манай үйлчилгээг (DoS) тасалдуулахад хүргэж болзошгүй аливаа үйл ажиллагаа

  • Root хамгаалалтын дутагдал/Root хамгаалалтыг тойрсон (мобайл аппликейшнүүд)

  • SSL гэрчилгээг пин хийхгүй байх/SSL гэрчилгээг пин хийхийг тойрсон (мобайл аппликейшнүүд)

  • Кодын төөрөгдөл дутмаг (мобайл аппликейшнүүд)

2.5. Хариу Өгсөн Цаг

Trading Point нь тантай аль болох илэн далангүй, хурдан шуурхай ажиллахыг эрмэлзэж байгаа бөгөөд манай хөтөлбөрт хамрагдаж буй судлаачдын хариу арга хэмжээний дараах зорилтуудыг биелүүлэхийн тулд хүчин чармайлт гаргах болно.

  • Эхний хариу өгөх хугацаа (тайланг өгөх өдрөөс хойш) гурван (3) ажлын өдөр байна. Гурван ажлын өдрийн дотор бид таны тайланг хүлээн авснаа баталгаажуулах болно.

  • Таслах хугацаа (тайланг өгөх өдрөөс хойш) таван (5) ажлын өдөр байна.

Бидний чадлынхаа хэрээр, илэрсэн сул талын байдлын оршин байдлыг танд баталгаажуулж өгөх бөгөөд засварлах үйл явцын үеэр авч буй арга хэмжээ, шийдэлд саад учруулж болзошгүй асуудал, сорилтуудыг аль болох ил тод мэдээлэх болно. Бид үйл явцын турш таныг боломжтой бол мэдээллээр хангахыг хичээнэ.

3. Шагналууд

Энэхүү бодлогын дагуу аюулгүй байдлын эмзэг байдлын талаар мэдээлэхийн тулд цаг хугацаа, хүчин чармайлт гаргадаг хүмүүсийг бид үнэлдэг. Гэсэн хэдий ч одоогоор бид эмзэг байдлын ил тод байдлын төлөө ямар нэгэн урамшуулал санал болгодоггүй. Энэ нь ирээдүйд өөрчлөгдөх боломжтой.

4. Санал

Хэрэв та энэ бодлогын талаар санал хүсэлт эсвэл санал өгөхийг хүсвэл бидэнтэй vulnerability.disclosure@xm.com хаягаар холбогдоно уу.

Trading Point болон манай хэрэглэгчдийг аюулгүй байлгахад тусалж байгаад баярлалаа.

5. PGP түлхүүрийн хурууны хээ

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

TP Аюулгүй Байдлын Илчлэлтийн PGP түлхүүрийг татаж авах

Жич: Дээрх PGP түлхүүрээр мессежээ шифрлээд өөрийн нийтийн түлхүүрийг имэйлдээ оруулна уу.