취약성 공개 정책

1. 개요

Trading Point Group(이하 "Trading Point")은 고객 데이터를 보호하고 더 안전한 솔루션과 애플리케이션을 만들기 위해 사이버 보안 커뮤니티와 협력할 필요성을 인식하고 있습니다. 이 정책은 보안 연구자들에게 취약점 발견 활동을 수행하는 데 필요한 명확한 지침을 제공하고, 발견된 취약점을 제출하는 방법에 대한 우리의 선호 사항을 전달하기 위한 것입니다.

연구자들은 Trading Point 시스템에서 발견한 취약점을 자발적으로 보고할 수 있습니다. 본 정책은 정책에 포함되는 시스템과 연구 유형 및 취약점 보고서를 제출하는 방법에 대해 설명합니다.

취약성 보고서 제출은 이 페이지에 명시된 약관에 따라 결정되며, 연구자는 취약성 보고서를 Trading Point에 제출함으로써 이러한 약관을 읽고 동의했음을 인정합니다.

2. 이용 약관

2.1. 세이프 하버 및 허가

취약성 연구를 수행하고 본 정책을 준수하기 위한 성실한 노력에 따라, 당사는 다음 사항과 같이 귀하의 연구를 고려합니다.

  • 귀하의 연구가 적용되는 해킹 방지법과 관련하여 승인된 것으로 간주하며 귀하의 연구를 위해 귀하에 대한 법적 조치를 권장하거나 추구하지 않습니다.

  • 귀하의 연구가 관련 우회 방지법에 대해 권한을 부여받았으며, 당사는 기술 통제 회피에 대해 귀하에게 클레임을 제기하지 않을 것입니다.

  • 귀하의 연구는 합법적이고, 인터넷의 전반적인 보안에 도움이 되며, 성실하게 수행됩니다.

귀하의 연구는 모든 해당 법률을 준수해야 합니다. 본 정책에 따라 선의로 수행한 활동에 대해 제3자가 귀하를 상대로 법적 조치를 시작하는 경우, 당사는 이에 대해 승인할 것임을 알려드립니다.

귀하의 보안 연구가 본 정책과 일치하는지 여부에 대한 우려가 있거나 불확실한 경우, 계속 진행하기 전에 당사의 공식 채널(아래) 중 하나를 통해 보고서를 제출하시기 바랍니다.

세이프 하버는 본 정책에 참여하는 조직의 통제 하에 있는 법적 권리에만 적용되며, 본 정책은 독립적인 제3자를 법적으로 구속하지 않습니다.

2.2. 지침

본 정책에서 "연구"란 다음과 같은 활동을 의미합니다:

  • 실제 또는 잠재적인 보안 문제를 발견한 후 가능한 한 빨리 알려주십시오.

  • 개인 정보 침해, 사용자 환경 저하, 운영 시스템 중단, 데이터 파괴 또는 조작을 방지하기 위해 모든 노력을 기울이십시오.

  • 취약성의 존재를 확인하는 데 필요한 범위까지만 공격을 허용하십시오. 공격을 사용하여 데이터를 손상 또는 유출, 영구 명령 라인 접근을 설정, 또는 공격을 통해 다른 시스템으로 피벗하지 마십시오.

또한 다음 사항도 지켜주시기 바랍니다:

  • 본 정책 및 기타 관련 계약을 준수하는 것을 포함하여 규정을 준수해야합니다. 본 정책과 다른 적용 조건 간에 불일치가 있는 경우 본 정책의 조건이 우선권을 갖습니다.

  • 오직 본인의 테스트 계좌와 상호 작용해야 합니다

  • 테스트를 위해 계좌 개설을 총 두 개로 제한해야 합니다.

  • 오직 공식 채널을 통하여 취약성 정보에 대해 공개하거나 당사와 논의해야 합니다.

  • 영향을 입증하기 위해 취약성을 체인으로 연결해야 하는 경우를 제외하고 보고서당 하나의 취약성을 제출해야 합니다.

  • 보고서가 제출되면 검색 중에 검색된 모든 데이터를 안전하게 삭제해야 합니다.

  • 범위 내 시스템에 대해서만 테스트를 수행하고 범위를 벗어난 시스템 및 활동을 존중해야 합니다.

  • 취약성을 찾기 위해 고강도 공격 또는 자동 검색 도구를 사용하지 않도록 해야 합니다.

  • Trading Point의 사전 서면 동의 없이 취약성을 공개하지 마십시오.

  • "서비스 거부" 공격을 수행하지 마십시오.

  • Trading Point의 사무실, 사용자 또는 직원에 대해 소셜 엔지니어링 및/또는 물리적 보안 공격을 수행하지 마십시오.

  • 웹 양식, 특히 고객이 당사 고객 관리 팀에 연락할 수 있도록 설계된 "고객 문의" 양식에 대해 자동화/스크립트로 작성된 테스트를 수행하지 마십시오.

취약점이 존재함을 확인하거나 의도치 않게 민감한 데이터(개인 식별 정보(PII), 금융 정보, 독점 정보, 또는 어느 당사자의 영업 비밀 포함)를 발견하면, 즉시 테스트를 중단하고 당사에게 알리며 이 데이터를 다른 사람에게 공개하지 마십시오. 또한, 증명을 위해 필요한 최소한의 데이터만 접근해야 합니다.

2.3. 취약성/공식 채널 보고

보안 문제나 실제 또는 잠재적 취약점을 발견하시면 vulnerability.disclosure@xm.com로 모든 관련 정보를 제공하여 보고해 주세요. 더 많은 정보를 제공해 주시면 저희가 문제를 분류하고 해결하는 데 큰 도움이 됩니다.

제출의 우선 순위를 지정하고 분류하는 데 도움이 되도록 보고서에 대한 아래의 내용을 준수해주시기 바랍니다:

  • 보고서에 취약성이 발견된 위치 또는 응용 프로그램 경로와 공격의 잠재적인 영향을 설명하는 것이 좋습니다.

  • 취약성을 재현하는 데 필요한 단계에 대한 자세한 설명을 제공합니다(개념 증명 스크립트 또는 스크린샷이 유용함).

  • 가능한 한 많은 세부 정보를 포함합니다.

  • 테스트 대상 IP 주소, 전자 메일 주소, 사용자 에이전트 및 거래 플랫폼에서 사용되는 사용자 이름(있는 경우)을 포함합니다.

  • 가능하다면 영어로 작성해주십시오.

취약성이 심각하거나 중요한 정보가 포함되어 있다고 생각되는 경우 PGP 키를 사용하여 팀에 PGP 암호화된 전자 메일을 보낼 수 있습니다.

2.4. 범위

a) 범위 내 시스템/서비스

영역

https://www.xm.comhttps://my.xm.com

Android 앱

XM Android 어플리케이션 (com.xm.webapp)

iOS 앱

XM iOS 어플리케이션 (id1072084799)

b) 범위를 벗어난 시스템/서비스

"범위 내 시스템/서비스" 부분에 명시되지 않은 모든 서비스(연결된 서비스 등), 시스템 또는 도메인은 범위에서 제외되며 테스트가 허용되지 않습니다. 또한, 공급업체의 시스템에서 발견된 취약점은 이 정책의 범위에 포함되지 않으며 해당 공급업체의 공개 정책(있는 경우)에 따라 직접 보고해야 합니다. 특정 시스템이 범위에 포함되는지 확실하지 않은 경우, vulnerability.disclosure@xm.com로 문의해 주세요.

c) 범위 내 취약성

  • SQL 인젝션

  • 사이트 간 스크립팅(XSS)

  • 원격 코드 실행(RCE)

  • 서버 측 요청 위조(SSRF)

  • 인증 및 세션 관리 중단

  • 안전하지 않은 직접 객체 참조(IDOR 공격)

  • 민감한 데이터 노출

  • 디렉토리/경로 횡단

  • 로컬/원격 파일 포함

  • 높은 영향력을 입증할 수 있는 크로스 사이트 요청 위조(CSRF)

  • 중요한 매개 변수에 대한 리디렉션 열기

  • 서브도메인 테이크오버(서브도메인 테이크오버의 경우 다음과 같은 우호적인 메시지를 추가합니다. "작업 중이며 곧 돌아올 것입니다.")

d) 범위 밖 취약성

특정 취약성은 취약성 노출 프로그램의 범위를 벗어난 것으로 간주됩니다. 특정 취약성은 취약성 노출 프로그램의 범위를 벗어난 것으로 간주됩니다. 이러한 범위를 벗어나는 취약성에는 다음이 포함되지만 이에 국한되지는 않습니다:

  • SPF, DKIM, DMARC 설정을 포함한 메일 구성 문제

  • 계좌 수정과 같은 중요한 작업으로 이어지지 않는 클릭잭킹 취약성

  • Self-XSS(즉, 사용자가 웹 브라우저에 코드를 붙여넣도록 속여야 하는 경우)

  • 영향이 결과적으로 최소인 콘텐츠 스푸핑(예: non-HTML 텍스트 주입)

  • 영향이 결과적으로 최소인 교차 사이트 요청 위조(CSRF)(예: 로그인 또는 로그아웃 양식의 CSRF)

  • 개방형 리디렉션 - 추가적인 보안 영향을 입증할 수 없는 경우

  • 영향이 결과적으로 최소인 CRLF

  • 영향이 결과적으로 최소인 호스트 헤더 주입

  • 비민감한 쿠키에서 HttpOnly 또는 Secure 플래그가 누락되었습니다.

  • SSL/TLS 구성 및 암호에 모범 사례 누락

  • HTTP 보안 헤더가 없거나 잘못 구성됨(예: CSP, HSTS)

  • 캡차 컨트롤이 없는 양식

  • 로그인 페이지를 통한 사용자 이름/전자 메일 열거 오류 메시지

  • 암호 분실 오류 메시지를 통한 사용자 이름/전자 메일 열거

  • 가능성이 낮은 사용자 상호 작용이 필요한 문제

  • 암호 복잡성 또는 계정 또는 암호 정책과 관련된 기타 문제

  • 세션 시간 초과 부족

  • 무차별 공격

  • 중요하지 않은 작업에 대한 속도 제한 문제

  • 취약성에 대한 증거가 없는 WordPress 취약성

  • 취약성의 증거가 없는 취약한 소프트웨어 버전 노출

  • 서비스 중단으로 이어질 수 있는 모든 활동(DoS)

  • 루트 보호 부족/루트 보호 우회(모바일 애플리케이션)

  • SSL 인증서 고정 부족/SSL 인증서 고정(모바일 애플리케이션) 우회

  • 코드 난독화 부족(모바일 애플리케이션)

2.5. 응답 시간

Trading Point는 최대한 공개적이고 신속하게 귀사와 협력하기 위해 최선을 다하고 있으며, 당사 프로그램에 참여하는 연구원을 위해 다음과 같은 응답 목표를 달성하기 위해 최선을 다하겠습니다:

  • 첫 회답까지의 시간(보고서 제출일로부터)은 영업일 기준 3일입니다. 영업일 기준 3일 이내에 귀하의 보고서가 접수되었음을 알려드립니다.

  • (보고서 제출부터) 분류 기간은 영업일 기준 5일입니다.

당사는 귀사에 대한 취약성의 존재를 최대한 확인하고 해결을 지연시킬 수 있는 문제나 과제뿐만 아니라 교정 프로세스 중에 어떤 조치를 취하고 있는지에 대해 가능한 한 투명하게 대처할 것입니다. 진행 과정 전반에 걸쳐 진행 상황을 지속적으로 알려드리겠습니다.

3. 보상

당사는 본 정책에 따라 보안 취약점을 보고하는 데 시간과 노력을 들이는 분들을 중요하게 생각합니다. 현재 취약성 공개에 대한 보상은 제공하지 않지만 앞으로 변경될 수 있는 사항입니다.

4. 피드백

이 정책에 대한 의견이나 제안이 있으시면 vulnerability.disclosure@xm.com로 연락해 주세요.

Trading Point와 사용자를 안전하게 보호해 주셔서 감사합니다.

5. PGP 키 지문

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Trading Point 취약성 공개 PGP 키 다운로드

참고: 위 PGP 키로 메시지를 암호화하고, 본인의 공개 키를 이메일에 포함해 주세요.