漏洞揭露政策

1. 簡介

Trading Point Group（簡稱“Trading Point”）致力於保護客戶及其資料安全，並高度重視與網路安全社區共同建立，保障安全性的解決方案和應用程式的合作關係。漏洞揭露政策旨在鼓勵所有資安研究和測試人員排查和發現漏洞或其它安全問題，且及時向我司通報明確的資安疑慮與意見。

任何人如果發現 Trading Point 系統的相關漏洞或其它安全問題，歡迎隨時通報。本政策概述公司系統和市場分析類型的定義，以及如何通報安全漏洞報告的流程。

本政策的所有條款與條例適用於所有的安全漏洞報告，安全研究測試人員若提交安全漏洞報告，即承認已詳閱並同意遵循 Trading Point 之所有相關條款與條例。

2. 條款與條例

2.1 安全港 / 授權

您在研究測試和匯報漏洞問題時，只要秉持誠信原則遵循本政策條款與條例，我司也承諾：

• 只要您的研究測試獲得任何適用的反黑客法規授權，我們將不會考慮或針對您的研究測試採取法律行動。

• 只要您的研究測試獲得任何反規避法規的授權，我們將不會因為您擾亂技術控制秩序而向您索賠。

• 合法並且秉持誠信態度執行，旨在提高網路的整體安全性。

您必須遵循所有適用法規。如果您遵循本政策的條款與條例，並且秉持誠信態度展開研究和測試活動，遭到第三方向您提起法律訴訟，我們將公示授權。

在執行安全漏洞研究和測試時，您若有任何疑慮或不確定是否遵循本政策條規與條例，在繼續行動之前，歡迎隨時透過官方管道諮詢（見下文定義）。

請注意，安全港僅適用於同意遵循本政策規範的組織，此政策無法管理約束獨立第三方。

2.2 指引

本政策在此定義，您所執行的“研究”活動即是：

• 在研究和測試活動期間，只要發現任何已存在或潛在的安全漏洞，請立即通知我們。

• 在研究和測試活動期間致力於避免侵犯隱私、降低用戶體驗、干擾生產系統以及破壞或惡意操控數據。

• 在研究和測試活動期間使用的安全漏洞，使用範圍僅限於確認並證明安全漏洞存在的必要程度内。切勿濫用漏洞破壞或外洩數據、不可建立可持續執行的命令行接口，和/或濫用漏洞導向第三方系統。

同時，您必須遵守下列準則：

• 遵守所有相關條規，包括遵守本政策和任何其它相關協議。如果本政策和任何其它適用條規之間出現互相矛盾或不一致情況，均以本政策條規爲準。

• 僅限於與您的測試帳戶進行交互流程。

• 任何漏洞測試僅限於建立最多兩 (2) 個帳戶。

• 僅限透過官方管道通報和/或揭露漏洞資料。

• 每份報告僅限提交一個漏洞，除非是一系列互相連接的漏洞且需要證明如何互相影響。

• 在送出報告後，立即以安全保密的方式刪除研究測試期間查找的所有數據。

• 僅限於測試規範內的系統，且尊重規範之外的系統和活動。

• 避免使用高强度侵入性工具和/或自動掃描器搜尋漏洞。

• 未經 Trading Point 事先書面許可，不得公開討論或揭露任何漏洞問題。

• 切勿執行任何網路級別“拒絕服務”攻擊。

• 切勿對 Trading Point 辦公室、用戶和/或員工進行任何類型的社會工程測試和/或實體安全攻擊。

• 切勿對線上表格執行自動化測試/測試脚本，特別是聯繫客服團隊的“聯繫我們”表格。

如果您已確定存在安全漏洞，或您無意中發現任何機敏數據（包括個人識別資訊 (PII)、財務資料、專有資訊，或是任何一方的商業機密），您必須立即停止測試，馬上通知我司，並且不得向任何人透露此數據資訊。同時，您也必須以最小化的數據，有效展示漏洞存在的“概念驗證”。

2.3 通報漏洞 / 官方管道

您可以發送電郵至 vulnerability.disclosure@xm.com，報告您發現的已存在和/或潛在的漏洞問題，並提供所有相關資訊。您提供的資訊越詳細，越有助於我司檢查分類和修復問題。

為幫助我司有效檢查分類和鑑別報告的優先重要性，我們建議您的報告：

• 描述發現漏洞的位置或應用程式問題，以及可被濫用的潛在影響。

• 提供完整重現漏洞所需的步驟和細節（包括概念驗證腳本或截圖）

• 盡量提供更多細節。

• 請提供您測試漏洞使用的 IP 位址、電子信箱、用戶/代理，以及交易平台中使用的用戶名稱（如有）。

• 如果可以，請提供英文版本。

如果您判斷此為嚴重安全漏洞或包含機敏訊息，請使用我們的 PGP 金鑰，並發送 PGP 加密電郵給我們的團隊。

2.4 範圍

一）範圍内的系統/服務

二）範圍之外的系統/服務

上述“範圍内的系統/服務”並未明確列入的任何服務（例如關聯服務）、系統或域名，均爲範圍之外的系統/服務，我司無法授權進行任何測試。此外，在我們的供應商系統中發現的任何漏洞，也是本政策範圍之外的漏洞，請根據相關供應商的揭露政策（如有）直接向該供應商報告。如果您不確定某個系統是否在範圍内，請電郵至 vulnerability.disclosure@xm.com。

三）範圍内的漏洞

• SQL 注入攻擊

• 跨站腳本攻擊（XSS）

• 遠程代碼執行 (RCE)

• 伺服器端請求偽造 (SSRF)

• 失效的身分認證和連線管理

• 不安全的直接物件參考 (IDOR)

• 機敏資料暴露

• 目錄/路徑遍歷漏洞

• 本機端/遠端文件包含漏洞

• 具高影響力之跨站偽造請求 (CSRF)

• 機敏參數之開放式重定向

• 子域名劫持漏洞（通常發生子域名劫持時，攻擊者會發佈友好訊息，如：“網站維修中，將儘快恢復正常”。）

四）範圍之外的漏洞

本漏洞揭露政策不包含某些安全漏洞，超出範圍外的安全漏洞包括但不限於：

• 電子信件配置問題，包括 SPF 郵件認證機制、DKIM 識別郵件方法和 DMARC 郵件驗證系統設定

• 不會引發機敏操作的點擊劫持，如修改帳戶

• Self-XSS 跨站腳本攻擊（如，攻擊者誘騙用戶將代碼注入至個人網頁瀏覽器）

• 內容詐欺攻擊（如，非 HTML 文本注入攻擊）之小幅影響

• 跨站偽造請求 (CSRF)（如，登入或登出表格中的 CSRF）之小幅影響

• 開放式重定向（除非能舉證將造成其它安全威脅）

• CRLF 注入攻擊之小幅影響

• Host 標頭注入攻擊之小幅影響

• 缺失 HttpOnly 或安全標誌之非機敏型 Cookie

• SSL/TLS 配置並未達到最佳執行效果

• HTTP 安全標頭缺失或配置錯誤，如，內容安全策略 (CSP)、HTTP 嚴格傳輸安全 (HSTS)

• Captcha 驗證碼控件缺失

• 因登入頁錯誤出現用戶名/電子信件之列舉

• 因密碼忘記出現用戶名/電子信件之列舉

• 無須用戶互動的問題

• 密碼複雜性或帳密政策的相關問題

• 缺乏會話逾時

• 暴力破解攻擊

• 非重要操作的速率限制問題

• 缺乏可利用性證據之 WordPress 漏洞

• 缺乏可利用性證據之軟體版本漏洞揭露

• 任何可能阻斷服務 (DoS) 的活動

• 缺乏/繞過 root 保護系統（應用程式）

• 缺乏/繞過 SSL 憑證綁定（應用程式）

• 缺乏代碼混淆（應用程式）

2.5 回應時間

Trading Point 秉持公開透明的原則，致力在回應時間內與漏洞揭露計劃的研究人員合作：

• 我們將在三 (3) 個工作日內（自通報日起）回覆確認收到您的報告。

• 五 (5) 個工作日内（自通報日起）完成初判與分類。

我司將通知您整個案件的進度，包括向您確認安全漏洞的存在，以及在修復過程中，任何可能造成延遲的問題或特殊情況。

3. 獎勵

我司十分感謝所有依循本政策通報安全漏洞的人員。目前我們尚未提供任何通報獎勵，不過未來不排除任何可能。

4. 回饋與建議

若對此漏洞揭露政策有任何意見或建議，請發送郵件至 vulnerability.disclosure@xm.com。

Trading Point 十分感謝您協助維護公司和所有用戶的整體網路安全。

5. PGP 金鑰指紋

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

下載 TP 漏洞揭露 PGP 金鑰

請注意：請在郵件中，包含您的個人公鑰並使用上述 PGP 金鑰加密您的訊息。