සාන්තරායත්ව අනාවරණ ප්රතිපත්තිය
1. හැඳින්වීම
Trading Point Group (මෙතැන් සිට "Trading Point") පාරිභෝගික දත්ත ආරක්ෂා කිරීමට සහ වඩාත් ආරක්ෂිත විසඳුම් සහ යෙදුම් නිර්මාණය කිරීමට එක්ව කටයුතු කිරීම සඳහා සයිබර් ආරක්ෂණ ප්රජාව වෙත ප්රවේශ වීමේ අවශ්යතාව හඳුනා ගෙන ඇත. මෙම ප්රතිපත්තිය ආරක්ෂක පර්යේෂකයින්ට සාන්තරායත්ව අනාවරණ ක්රියාකාරකම් සිදු කිරීම සඳහා පැහැදිලි මාර්ගෝපදේශයක් ලබා දීමට සහ අනාවරණය කර ගත් සාන්තරායත්ව අප වෙත ඉදිරිපත් කරන්නේ කෙසේද යන්න පිළිබඳ අපගේ අභිරුචීන් දැන්වීමට අදහස් කරයි.
Trading Point පද්ධතිය හා සම්බන්ධව සොයා ගත හැකි සාන්තරායත්ව ස්වේච්ඡාවෙන් වාර්තා කිරීමට පර්යේෂකයින්ට අවස්ථාව ලබා දෙයි. මෙම ප්රතිපත්තිය යටතේ ආවරණය වන පද්ධති සහ පර්යේෂණ වර්ග මොනවාද යන්න සහ අප වෙත සාන්තරායත්ව වාර්තා ඉදිරිපත් කරන්නේ කෙසේද යන්න මෙම ප්රතිපත්තියෙන් විස්තර කරයි.
සාන්තරායත්ව වාර්තා ඉදිරිපත් කිරීම මෙම පිටුවේ දක්වා ඇති නියමයන් සහ කොන්දේසිවලට යටත් වන අතර, Trading Point වෙත සාන්තරායත්ව වාර්තාවක් ඉදිරිපත් කිරීමෙන් පර්යේෂකයින් මෙම නියමයන් සහ කොන්දේසි කියවා එකඟ වී ඇති බව පිළිගනියි.
2. නියමයන් සහ කොන්දේසි
2.1. ආරක්ෂිත රැකවරණය (safe harbor)/අවසර දීම
සාන්තරායත්ව පර්යේෂණ සිදු කිරීමේදී, මෙම ප්රතිපත්තියට අනුකූල වීමට සද්භාවයෙන් උත්සාහ කෙරෙන බව පෙන්නුම් කරමින් ඔබේ පර්යේෂණය පහත පරිදි විය යුතු බව අපි සලකන්නෙමු.
අදාළ වන ඕනෑම හැක් කිරීම් විරෝධී නීති (anti-hacking laws) සම්බන්ධයෙන් බලය ලත් අතර අපි ඔබේ පර්යේෂණ සඳහා ඔබට එරෙහිව නීතිමය ක්රියාමාර්ග නිර්දේශ කිරීම හෝ අනුගමනය නොකරනු ඇත
අදාළ කිසියම් මග හැරීම් විරෝධී නීති (circumvention laws) සම්බන්ධයෙන් බලය ලත් අතර තාක්ෂණික පාලනයන් මග හැරීම කෙරෙහි අපි ඔබට එරෙහිව ඉල්ලීමක් සිදු නොකරනු ඇත
නීත්යනුකූල වීම, අන්තර්ජාලයේ සමස්ත ආරක්ෂාවට උපකාරී වීම සහ සද්භාවයෙන් පවත්වනු ලැබීම
අදාළ සියලු නීතිවලට ඔබ අනුකූල වීම අපේක්ෂා කෙරේ. මෙම ප්රතිපත්තියට අනුකූලව ඔබ සද්භාවයෙන් සිදු කර ඇති ක්රියාකාරකම් සඳහා ඔබට එරෙහිව තෙවන පාර්ශවයක් විසින් නීතිමය ක්රියාමාර්ගයක් ආරම්භ කරන්නේ නම්, අපි මෙම අවසරය දැනුම් දෙන්නෙමු.
ඔබට කිසියම් ගැටලුවක් පවතින ඕනෑම අවස්ථාවක හෝ ඔබේ ආරක්ෂක පර්යේෂණය මෙම ප්රතිපත්තියට අනුකූලද යන්න අවිනිශ්චිත නම්, තවදුරටත් ඉදිරියට යාමට පෙර කරුණාකර අපගේ නිල ක්රමයක් (පහතින් තීරණය කර ඇති පරිදි) හරහා වාර්තාවක් ඉදිරිපත් කරන්න.
ආරක්ෂක රැකවරණය (safe harbor) අදාළ වන්නේ මෙම ප්රතිපත්තියට සහභාගී වන සංවිධානයේ පාලනය යටතේ පවතින නෛතික හිමිකම් සඳහා පමණක් බවත්, ප්රතිපත්තිය ස්වාධීන තෙවන පාර්ශව බැඳ නොතබන බවත් සලකන්න.
2.2. මාර්ගෝපදේශ
මෙම ප්රතිපත්තිය යටතේ ඔබ සිදු කරන පහත සඳහන් ක්රියාකාරකම් "පර්යේෂණ" ලෙස අදහස් කෙරෙනු ලැබේ.
සැබෑ හෝ විභව ආරක්ෂක ගැටලුවක් අනාවරණය කර ගත් වහාම හැකි ඉක්මනින් අපව දැනුම්වත් කිරීම
පෞද්ගලිකත්ව උල්ලංඝනය කිරීම්, පරිශීලක අත්දැකීම් පිරිහීම, නිෂ්පාදන පද්ධතිවලට බාධා කිරීම් සහ දත්ත විනාශ කිරීම හෝ හැසිරවීම වැළැක්වීමට සෑම උත්සාහයක්ම දැරීම
සාන්තරායත්වයක් පවතින බව තහවුරු කිරීමට අවශ්ය ප්රමාණයට පමණක් උපයෝජන භාවිත කිරීම. දත්ත උල්ලංඝනය කිරීමට හෝ නිර්වහනය (exfiltrate) කිරීමට, ස්ථිර විධාන රේඛා (command line) ප්රවේශය ස්ථාපිත කිරීමට, හෝ වෙනත් පද්ධති වෙත විවර්තනය කිරීමට උපයෝජන භාවිත නොකිරීම
පහත සඳහන් කරුණු ඉටු කරන මෙන්ද ඔබෙන් ඉල්ලා සිටියි.
මෙම ප්රතිපත්තිය සහ වෙනත් අදාළ එකඟතා අනුගමනය කිරීම ඇතුළුව නීතීන්ට අනුගත වීම. මෙම ප්රතිපත්තිය සහ වෙනත් අදාළ නියමයන් අතර කිසියම් අසංගතතාවක් ඇත්නම්, මෙම ප්රතිපත්තියේ නියමයන් බලපැවැත්වේ.
ඔබේම පරීක්ෂණ ගිණුම් සමග පමණක් කටයුතු කිරීම
ඕනෑම පරීක්ෂණයක් සඳහා ගිණුම් නිර්මාණය සම්පූර්ණ ගිණුම් දෙකකට (2) සීමා කිරීම
සාන්තරායත්ව තොරතුරු අනාවරණය කිරීමට සහ/හෝ අප සමග සාකච්ඡා කිරීමට නිල වශයෙන් ඇති ක්රම පමණක් භාවිත කිරීම
බලපෑම විදහා දැක්වීමට ඔබට සාන්තරායත්ව එකිනෙකට සම්බන්ධ කිරීමට අවශ්යතාවක් නොමැත්තේ නම්, එක් වාර්තාවකින් එක් සාන්තරායත්වයක් ඉදිරිපත් කිරීම
වාර්තාව ඉදිරිපත් කළ පසු පර්යේෂණය අතරතුර ලබා ගත් සියලු දත්ත ආරක්ෂිතව මකා දැමීම
ඍජුවම සම්බන්ධිත පද්ධතිවල පමණක් පර්යේෂණ සිදු කිරීම සහ අදාළ නොවන පද්ධති සහ ක්රියාකාරකම් පිළිබඳ සැලකිල්ලක් දැක්වීම
සාන්තරායත්ව සෙවීමට ඉහළ තීව්රතාවකින් යුත් ආක්රමණශීලී හෝ ස්වයංක්රීය ස්කෑන් කිරීමේ මෙවලම් භාවිතයෙන් වැළකීම
Trading Point හි පූර්ව ලිඛිත අවසරයකින් තොරව කිසිදු සාන්තරායත්වයක් ප්රසිද්ධියේ හෙළි නොකිරීම
කිසිදු "සේවා ප්රතික්ෂේප කිරීමේ" (denial of service) ප්රහාරයක් සිදු නොකිරීම
Trading Point හි කාර්යාල, පරිශීලකයින් හෝ සේවකයින්ට එරෙහිව සමාජ යාන්ත්රිකතා (social engineering) සහ/හෝ භෞතික ආරක්ෂණ ප්රහාර සිදු නොකිරීම
විශේෂයෙන්ම පාරිභෝගිකයින්ට අපගේ පාරිභෝගික අත්දැකීම් කණ්ඩායම සම්බන්ධ කර ගැනීම සඳහා නිර්මාණය කර ඇති "අපව සම්බන්ධ කරගන්න" පෝරම ඇතුළු වෙබ් පෝරමවල ස්වයංක්රීය/ස්ක්රිප්ට් පරීක්ෂණ (automated/scripted testing) සිදු නොකිරීම
සාන්තරායත්වයක් පවත්නා බව ඔබ තහවුරු කර ගත් පසු හෝ අනපේක්ෂිතව ඔබට කිසියම් සංවේදී දත්තයක් (පෞද්ගලිකව හඳුනා ගත හැකි තොරතුරු (PII), මූල්ය තොරතුරු, හිමිකාර තොරතුරු හෝ ඕනෑම පාර්ශවයක වෙළඳ රහස් ඇතුළු) හමුවූ පසු, ඔබ ඔබේ පරීක්ෂණය නවතා, ඉක්මනින් අපව දැනුවත් කළ යුතු අතර කිසිදු පුද්ගලයෙකුට මෙම දත්ත හෙළි නොකළ යුතුය. එසේම ඔබ සංකල්පයක් සනාථ කිරීම ඵලදායී ලෙස ඉදිරිපත් කිරීම සඳහා අවශ්ය අවම දත්ත වෙත ඔබේ ප්රවේශය සීමා කළ යුතුය.
2.3. සාන්තරායත්වයක් වාර්තා කිරීම/නිල ක්රම
කරුණාකර අදාළ සියලු තොරතුරු සපයමින්, ආරක්ෂක ගැටලු/සැබෑ හෝ විභව සාන්තරායත්ව සොයාගැනීම් vulnerability.disclosure@xm.com හරහා වාර්තා කරන්න. ඔබ සපයන තොරතුරු ප්රමාණය වැඩි වන තරමට, ප්රමුඛතා අවශ්යතාව තීරණය කිරීම සඳහා ඉක්මන් පරීක්ෂණයට සහ ගැටලුව විසඳීමට අපට පහසු වනු ඇත.
ඉදිරිපත් කිරීම් ප්රමුඛතා අවශ්යතාව තීරණය කිරීම සඳහා ඉක්මන් පරීක්ෂණයට සහ ප්රමුඛතාකරණය සඳහා අපට සහාය වීම පිණිස, ඔබේ වාර්තා පහත පරිදි විය යුතු බව අපි නිර්දේශ කරන්නෙමු.
සාන්තරායත්වය අනාවරණය කරගත් ස්ථානය හෝ යෙදුම් මාර්ගය සහ උපයෝජනයේ විභව බලපෑම විස්තර කිරීම
සාන්තරායත්වය ප්රතිනිෂ්පාදනය කිරීමට අවශ්ය පියවර පිළිබඳ සවිස්තරාත්මක විස්තරයක් සැපයීම (සංකල්ප පිටපත්වල සාක්ෂි හෝ ස්ක්රීන්ෂොට් උපකාරී වේ)
හැකිතාක් විස්තර ඇතුළත් කිරීම
ඔබ පරීක්ෂණය කිරීම සිදු කළ IP ලිපිනය, ඊමේල් ලිපිනය සහ වෙළඳ වේදිකාවේ භාවිත කළ පරිශීලක නියෝජිත සහ පරිශීලක නාමය (නම්) (ඇත්නම්) ඇතුළත් කිරීම
හැකිනම් ඔබේ වාර්තා ඉංග්රීසි භාෂාවෙන් ඉදිරිපත් කිරීම
සාන්තරායත්වය බරපතල එකක් බවට ඔබ සිතන්නේ නම් හෝ එහි සංවේදී දත්ත ඇතුළත් වන්නේ නම්, අපගේ PGP යතුර භාවිත කර අප කණ්ඩායමට PGP ගුප්ත කේතනය කළ ඊමේල් පණිවිඩයක් යොමු කළ හැකිය.
Android යෙදුම
XM Android යෙදුම (com.xm.webapp)
iOS යෙදුම
XM iOS යෙදුම (id1072084799)
ආ) අදාළ නොවන පද්ධති/සේවා
ඉහත "අදාළ වන සේවා/පද්ධති" කොටසේ ලැයිස්තුගත කර නොමැති ඕනෑම සේවාවක් (සම්බන්ධිත සේවා වැනි), පද්ධති හෝ ඩොමේන් විෂයපථයෙන් බැහැර වන අතර ඒවා පරික්ෂා කිරීම සඳහා අවසර හිමි නොවේ. මීට අමතරව, අපගේ විකුණුම්කරුවන්ගේ පද්ධතිවල ඇති සාන්තරායත්ව මෙම ප්රතිපත්තියේ විෂයපථයෙන් බැහැර වන අතර සිය අනාවරණ ප්රතිපත්තියට අනුව (ඇත්නම්) ඍජුවම විකුණුම්කරු වෙත වාර්තා කළ යුතුය. පද්ධතියක් අදාළ වන්නේද නොවන්නේද යන්න පිළිබඳ ඔබට විශ්වාසයක් නොමැති නම්, vulnerability.disclosure@xm.com හරහා අප හා සම්බන්ධ වන්න.
ඇ) අදාළ වන සාන්තරායත්ව
SQL නික්ෂේපණය (injection)
හරස් අඩවි ස්ක්රිප්ටින් (cross-site scripting (XSS))
දුරස්ථ කේත ක්රියාත්මක කිරීම (remote code execution (RCE))
Server-side request forgery (SSRF)
දුර්වල ලෙස ක්රියාත්මක වන සත්යාපනය සහ වාර කළමනාකරණය
අනාරක්ෂිත ඍජු වස්තු යොමුව (insecure direct object reference (IDOR))
සංවේදී දත්ත නිරාවරණය
Directory/path traversal
ස්ථානික/දුරස්ථ ගොනු අන්තර්ගතය (local/remote file inclusion)
සනාථ කළ හැකි ඉහළ බලපෑම සමග cross-site request forgery (CSRF)
සංවේදී පරාමිතීන් මත විවෘත යළි යොමුවීම් (open redirect)
උපවසම් පාලනය නතු කර ගැනීම (subdomain takeover) (උපවසම් පාලනය නතු කර ගැනීම සඳහා, "අපි ඒ සම්බන්ධයෙන් කටයුතු කරමින් සිටින අතර ඉක්මනින් ආපසු පැමිණෙන්නෙමු" යනුවෙන් මිත්රශීලී පණිවිඩයක් එක් කරයි)
ඈ) අදාළ නොවන සාන්තරායත්ව
ඇතැම් සාන්තරායත්ව, සාන්තරායත්ව අනාවරණ වැඩසටහන සඳහා අදාළ නොවන බව සලකනු ලැබේ. එම අදාළ නොවන සාන්තරායත්ව පහතින් දැක්වෙන අතර ඒවාට පමණක් සීමා නොවේ.
SPF, DKIM, DMARC සැකසුම් ඇතුළු ඊමේල් සැකසුම් ගැටලු
ගිණුම් වෙනස් කිරීම වැනි සංවේදී ක්රියාවන්ට තුඩු නොදෙන clickjacking සාන්තරායත්ව
Self-XSS (එහිදී පරිශීලකයෙකු තම වෙබ් බවුසරයේ කේතය පේස්ට් කිරීමට ප්රයෝගයක් යෙදිය යුතුය)
ප්රතිඵලය වන බලපෑම අවම වන අන්තර්ගත නික්ෂේපණය (content spoofing) (උදා. HTML නොවන පෙළ නික්ෂේපණය)
ප්රතිඵලය වන බලපෑම අවම වන cross-site request forgery (CSRF) (උදා. පුරනය වීමේ සහ පිටවීමේ පෝරමවල CSRF)
විවෘත යළි යොමුවීම් (open redirect) - අතිරේක ආරක්ෂක බලපෑමක් පෙන්නුම් කළ නොහැකි නම්
ප්රතිඵලය වන බලපෑම අවම වන CRLF ප්රහාර
ප්රතිඵලය වන බලපෑම අවම වන host header නික්ෂේපණය
සංවේදී නොවන කුකී මත HttpOnly හෝ secure flags නොමැති වීම
SSL/TLS වින්යාසයේ සහ කේතාංකනය කිරීමේ හොඳම භාවිතයන් නොමැති වීම
HTTP ආරක්ෂක ශීර්ෂක (උදා. CSP, HSTS) නොමැති වීම හෝ වැරදි අයුරින් වින්යාස කිරීම
CAPTCHA පාලන නොමැති පෝරම
පිවිසුම් පිටුවේ දෝෂ පණිවිඩය හරහා පරිශීලක නාමය/ඊමේල් ප්රගණනය
මුරපදය අමතක වීමේ දෝෂ පණිවිඩය හරහා පරිශීලක නාමය/ඊමේල් ප්රගණනය
අසම්භාව්ය පරිශීලක අන්තර්ක්රියා අවශ්ය වන ගැටලු
මුරපද සංකීර්ණත්වය හෝ ගිණුම් හෝ මුරපද ප්රතිපත්ති සම්බන්ධ වෙනත් ගැටලු
වාර කල් ඉකුත්වීම් නොමැතිවීම
Brute-force ප්රහාර
අවදානම් සහගත නොවන ක්රියා සඳහා rate limit ගැටලු
උපයෝජන සාක්ෂි නොමැති WordPress සාන්තරායත්ව
උපයෝජන සාක්ෂි නොමැතිව සාන්තරායත්ව මෘදුකාංග සංස්කරණ අනාවරණය (vulnerable software version disclosure)
අපගේ සේවාව නිසි අයුරින් ක්රියා නොකිරීමට (DoS) හේතු වන ඕනෑම ක්රියාවක්
මූල (root) ආරක්ෂණය නොමැති වීම/මූල ආරක්ෂණය නොසලකා හැරීම (ජංගම යෙදුම්)
SSL සහතිකයක් සමග සම්බන්ධයක් (SSL certificate pinning) නොමැති වීම/SSL සහතිකයක් සමග සම්බන්ධයක් (SSL certificate pinning) නොසලකා හැරීම (ජංගම යෙදුම්)
කේත අපැහැදිලි (code obfuscation) නොවීම (ජංගම යෙදුම්)
2.5. ප්රතිචාර දැක්වීමට ගතවන කාලය
Trading Point ඔබ සමග හැකිතාක් විවෘතව සහ ඉක්මනින් සම්බන්ධීකරණය කිරීමට කැපවී සිටින අතර අපගේ වැඩසටහනට සහභාගී වන පර්යේෂකයින් සඳහා පහත සඳහන් ප්රතිචාර ඉලක්කයන් සපුරාලීමට උපරිම උත්සාහයක් දරනු ඇත.
පළමු ප්රතිචාරය සඳහා ගත වන කාලය (වාර්තාව ඉදිරිපත් කළ දිනයේ සිට) ව්යාපාරික දින තුනකි (3). ව්යාපාරික දින තුනක් ඇතුළත, ඔබේ වාර්තාව ලැබී ඇති බව අපි දන්වා සිටින්නෙමු.
ප්රමුඛතා අවශ්යතාව තීරණය කිරීමට ඉක්මන් පරීක්ෂණය සඳහා ගත වන කාලය (වාර්තාව ඉදිරිපත් කිරීමේ සිට) ව්යාපාරික දින පහකි (5).
අපිට හැකි උපරිමයෙන්, ඔබට සාන්තරායත්වයේ පැවැත්ම තහවුරු කර ප්රතිකර්ම ක්රියාවලියේදී අප ගන්නා පියවර මෙන්ම විසඳීම ප්රමාද කළ හැකි ගැටලු හෝ අභියෝග පිළිබඳව හැකි පමණ විනිවිදභාවයෙන් අපි කටයුතු කරන්නෙමු. ක්රියාවලිය පුරාවට අපගේ ප්රගතිය පිළිබඳ ඔබව දැනුම්වත් කිරීමට අපි උත්සාහ කරන්නෙමු.
3. ප්රතිලාභ
මෙම ප්රතිපත්තියට අනුව ආරක්ෂණ සාන්තරායත්වයන් වාර්තා කිරීමට සිය කාලය සහ ශ්රමය වැය කරන පුද්ගලයින් අපි අගය කරන්නෙමු. කෙසේනමුත්, අපි දැනට සාන්තරායත්ව අනාවරණ සඳහා කිසිදු ප්රතිලාභයක් සැපයීම සිදු නොකරන්නෙමු. මෙය ඉදිරියේදී වෙනස්වීමට යටත් වේ.
4. ප්රතිපෝෂණය
ඔබ මෙම ප්රතිපත්තිය සම්බන්ධයෙන් ප්රතිපෝෂණ හෝ අදහස් ලබා දීමට අපේක්ෂා කරන්නේ නම්, කරුණාකර vulnerability.disclosure@xm.com හරහා අප හා සම්බන්ධ වන්න.
Trading Point සහ අපගේ පරිශීලකයින් ආරක්ෂිතව තැබීමට වන ඔබේ සහාය සම්බන්ධයෙන් ස්තූතිය.
5. PGP පොදු යතුරු කේතය (key fingerprint)
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
සටහන: කරුණාකර ඔබේ පණිවිඩය ඉහත PGP යතුර සමගින් ගුප්ත කේතනය කර ඊමේල් පණිවිඩයේ ඔබේ පොදු යතුර ඇතුළත් කරන්න.