Zaiflikni oshkor qilish siyosati
1. Tanishtirish
Trading Point Group (keyingi oʻrinlarda "Trading Point") mijozlarning maʼlumotlarini himoya qilish uchun kiberxavfsizlik hamjamiyatiga yaqinlashishi lozimligini va yanada xavfsizroq yechimlar va ilovalarni yaratish uchun birgalikda ishlash lozimligini tan oladi. Ushbu siyosat xavfsizlik tadqiqotchilariga zaiflikni aniqlash harakatlarini amalga oshirishlari uchun aniq koʻrsatmalar berish va aniqlangan zaifliklarni bizga qanday yetkazish boʻyicha parametrlarimizni tushuntirish uchun moʻljallangan.
Tadqiqotchilar oʻzlari aniqlagan va Trading Point tizimlariga oid zaifliklar haqida ixtiyoriy xabar berishga targʻib etiladi. Ushbu siyosat qanday tizimlar va tadqiqot turlari bu siyosat boʻyicha qamrab olinishi va zaiflik haqidagi hisobotlarni bizga qanday yuborishni tasvirlaydi.
Zaiflik haqidagi hisobotlarni yuborish ushbu sahifada keltirilgan shartlar va qoidalar asosida amalga oshiriladi va Trading Pointga zaiflik haqidagi hisobotlarni yuborish orqali, tadqiqotchilar bu shartlar va qoidalarni oʻqigani va rozilik bildirishini tan oladilar.
2. Shartlar va qoidalar
2.1. Xavfsiz bandargoh / avtorizatsiya
Ushbu siyosatga amal qilgan holda zaiflikka oid tadqiqotni olib borganda, biz tadqiqotingizning quyidagicha boʻlishini istaymiz:
Har qanday hakerlikka qarshi qonunlar ruxsatiga ega boʻlish va biz tadqiqotingiz uchun sizni qonun tomonlama taʼqib qilmaymiz.
Har qanday himoyani aylanib oʻtish qonunlar ruxsatiga ega boʻlish va biz texnologik nazoratni aylanib oʻtganingiz uchun sizni javobgarlikka tortmaymiz.
Qonuniy boʻlish, Internet xavfsizligi uchun yordam berish va yaxshi niyatda amalga oshirish.
Sizdan barcha tegishli qonunlarga rioya qilish kutiladi. Agar ushbu siyosatga asosan yaxshi niyatda amalga oshirgan ishlaringiz uchun sizga qarshi uchinchi tomonlar daʼvo kiritilsa, biz bunday ruxsatni berganimizni bildiramiz.
Agar istalgan vaqtda xavfsizlikka oid tadqiqotingiz ushbu siyosatga mos kelishi yoki kelmasligi boʻyicha sizda xavotir yoki noaniqlik boʻlsa ishni davom ettirishdan oldin bizning rasmiy kanallarimiz orqali (quyida keltirilgan) bizga xabar bering.
Yodda tutingki, Xavfsiz bandargoh qoidasi faqat ushbu siyosat ostida ishtirok etayotgan tashkilot nazorati ostidagi yuridik daʼvolarga nisbatan qoʻllanadi va ushbu siyosat mustaqil uchinchi tomonlar uchun majburiy emas.
2.2. Yoʻriqnomalar
Ushbu siyosatga asosan, "tadqiqot" deganda sizning quyidagi harakatlaringiz tushuniladi:
Haqiqiy yoki ehtimoliy xavfsizlik muammosini aniqlaganda bizga darhol xabar berishingiz.
Maxfiylik huquqbuzarligi, foydalanuvchi tajribasining buzilishi, mahsulot tizimlari faoliyatiga zarar yetishi va maʼlumotlarning buzilishi yoki manipulyatsiya qilinishining oldini olish.
Zaiflikdan foydalanish instrumentlaridan faqat zaiflik mavjudligini tasdiqlash uchun yetarli darajada foydalanish. Zaiflikdan foydalanish instrumentidan maʼlumotlarni oshkor etish yoki sizdirish, buyruq satridan kirish yoki boshqa tizimlarga burib yuborish uchun foydalanmang.
Sizdan yana quyidagilar talab etiladi:
Qoidalarga, jumladan, ushbu siyosat va boshqa har qanday shu kabi kelishuvlarga amal qilish. Agar ushbu siyosat va boshqa tegishli shartlar orasida ziddiyat boʻlsa, ushbu siyosat shartlari asosiy kuchga ega boʻladi.
Faqatgina oʻzingizning sinov hisoblaringiz bilan ishlash.
Har qanday sinov uchun jami ikkita (2) hisob yaratish bilan cheklash.
Bizga zaiflik haqidagi maʼlumotni oshkor etish va/yoki muhokama qilish uchun faqat rasmiy kanallardan foydalaning.
Agar taʼsirni namoyish etish uchun zaifliklarni bogʻlash zarurati boʻlmasa, bitta hisobotda bitta zaiflik haqida xabar yuboring.
Hisobot taqdim etilgandan keyin barcha olingan maʼlumotlarni xavfsiz shaklda oʻchiring.
Sinovni faqat bitta ishlatilayotgan tizimlarda amalga oshiring va ishlatilmayotgan tizimlar va xatti-harakatlarni hurmat qiling.
Zaifliklarni topish uchun yuqori intensivlikdagi agressiv yoki avtomatik skanerlash vositalaridan foydalanmang.
Trading Point bergan yozma roziliksiz hech qanday zaiflikni ommaga oshkor qilmang.
Hech qanday tarmoqqa hujumni amalga oshirmang.
Trading Point ofislari, foydalanuvchilari yoki xodimlariga qarshi ijtimoiy muhandislik va/yoki jismoniy xavfsizlik hujumlarini amalga oshirmang.
Veb-shakllar, ayniqsa mijozlar uchun bizning Mijozlarga yordam jamoamizga murojaat qilish uchun yaratilgan "Biz bilan bogʻlanish" shakllariga nisbatan avtomatik/skript sinovlarini amalga oshirmang.
Zaiflik borligini aniqlagandan keyin yoki tasodifan nozik maʼlumotlarga duch kelsangiz (jumladan, shaxsni aniqlovchi maʼlumotlar, moliyaviy maʼlumotlar, egalik maʼlumotlari yoki biror tomonning savdo sirlari), siz sinovni toʻxtatishingiz, bizga darhol xabar berishingiz va bu maʼlumotlarni boshqa hech kimga oshkor etmasligingiz lozim. Undan tashqari, eksperimentni samarali namoyish etish uchun yetarli boʻladigan minimal darajadagi maʼlumotlardan foydalaning.
2.3. Zaiflik haqida xabar berish / Rasmiy kanallar
Xavfsizlik muammolari / mavjud yoki ehtimoliy zaiflik aniqlangan holatlarni vulnerability.disclosure@xm.com orqali yetkazing va barcha tegishli maʼlumotlarni yuboring. Qanchalik koʻp tafsilot yuborsangiz, bu bizga ustivorlikni aniqlash va muammolarni hal etish ishimizni shunchalik osonlashtiradi.
Hisobot yuborishda ustivorlikni belgilashimiz uchun sizga hisobotlaringiz quyidagi shaklda boʻlishini tavsiya etamiz:
Joylashuv yoki zaiflik topilgan ilova direktoriyasini hamda zaiflik keltiradigan zarar darajasini tasvirlash.
Zaiflik nusxasini yaratish uchun zarur odimlarning batafsil tavsifini taqdim etish (ekperiment skripti yoki skrinshotlar yordam beradi).
Imkon qadar koʻproq tafsilotlar kiritish.
Siz sinov uchun kirgan IP manzil, e-pochta manzili, savdo platformasidagi foydalanuvchi-agent va foydalanuvchi nomlarini (agar boʻlsa) kiritish.
Iloji boʻlsa ingliz tilida taqdim etish.
Agar zaiflik jiddiy deb yoki unda nozik maʼlumotlar bor deb hisoblasangiz, siz jamoamizga PGP kalitdan foydalanib PGP shifrlangan elektron xabar yuborishingiz mumkin.
2.4. Qoʻllanish doirasi
a) Qoʻllanilgan tizimlar/xizmatlar
Domenlar
https://www.xm.comhttps://my.xm.comAndroid ilovasi
XM Android ilovasi (com.xm.webapp)
iOS ilovasi
XM iOS ilovasi (id1072084799)
b) Qoʻllanilmagan tizimlar/xizmatlar
"Qoʻllanilgan tizimlar/xizmatlar" boʻlimida aniq sanab oʻtilmagan har qanday xizmat (ulangan xizmatlar kabi), tizim yoki domen qoʻllanish doirasidan chiqariladi va sinov uchun ularga ruxsat berilmaydi. Qoʻshimcha ravishda, taʼminotchilarmizning tizimlarida topilgan zaifliklar ushbu siyosat qoʻllanish doirasidan tashqarida boʻladi va bevosita taʼminotchiga ularning oshkor qilish siyosatiga asosan yuborilishi lozim. Agar siz biror tizim qoʻllanish doirasiga kirishi yoki kirmasligi borasida ikkilansangiz biz bilan vulnerability.disclosure@xm.com orqali bogʻlaning.
c) Qoʻllanish doirasidagi zaifliklar
SQL kiritish
Saytlararo ssenariylar (XSS)
Masofadan kodlarni bajarish (RCE)
Server tomon talabini soxtalashtirish (SSRF)
Buzilgan autentifikatsiya va seans boshqaruvi
Obyektlarga xavfli bevosita havolalar (IDOR)
Nozik maʼlumotlarning ochilib qolishi
Katalog/direktoriyani aylanib oʻtish
Mahalliy/masofadan faylni kiritish
Saytlararo talabini soxtalashtirishning (CSRF) oshkora sezilarli taʼsiri
Nozik parametrlarga ochiq yoʻnaltirish
Subdomenni egallash (subdomenni egallash uchun quyidagi kabi doʻstona xabar kiriting: "Biz bu muammo ustida ishlayapmiz va tez orada qaytamiz").
c) Qoʻllanish doirasidan tashqaridagi zaifliklar
Ayrim zaifliklar Zaifliklarni oshkor etish dasturi uchun qoʻllanish doirasidan tashqaridagi zaiflik deb hisoblanadi. Bunday qoʻllanish doirasidan tashqaridagi zaifliklarga quyidagilar kiradi:
SPF, DKIM, DMARC sozlamalarini ichiga olgan pochta konfiguratsiyasi muammolari
Hisob oʻzgarishi kabi nozik harakatlarga olib kelmaydigan tugmani bosishga oid zaifliklar
Self-XSS (yaʼni foydalanuvchi kodeni veb-brauzeriga joylashiga aldab erishiladigan holat)
Taʼsir kuchi minimal boʻladigan kontentning almashtirib qoʻyilishi (masalan, no-HTML matnni kiritish)
Taʼsir kuchi minimal boʻladigan saytlararo talabini soxtalashtirishning (CSRF) (masalan, login yoki chiqish shakllaridagi CSRF)
Qoʻshimcha xavfsizlik taʼsiri namoyish etilmaguncha ochiq qayta yoʻnaltirish
Taʼsir kuchi minimal boʻlgan CRLF hujumlari
Taʼsir kuchi minimal boʻlgan host sarlavhasini kiritish
Nozik boʻlmagan cookie-fayllarda HttpOnly yoki xavfsiz bayroqchalarning yoʻqligi
SSL/TLS konfiguratsiyasi va shifrlarda xavfsizlik talablarining yoʻqligi
HTTP xavfsizlik sarlavhalarining (masalan, CSP, HSTS) yoʻqligi yoki notoʻgʻri konfiguratsiyasi
Captcha nazorati boʻlmagan shakllar
Login sahifasi xatosi xabari orqali foydalanuvchi nomi/e-pochtaning sanab oʻtilishi
Parolni unutdim xatosi xabari orqali foydalanuvchi nomi/e-pochtaning sanab oʻtilishi
Kutilmaydigan foydalanuvchi munosabatini talab qiladigan muammolar
Parol murakkabligi yoki hisob yoki parol siyosatiga aloqador har qanday boshqa muammo
Seans taymautining yoʻqligi
Qoʻpol kuch hujumlari
Nokritik xatti-harakatlar uchun tezlikni cheklash muammolari
Ekspluatatsiyaga yaroqlilik isbotisiz WordPress zaifliklari
Ekspluatatsiyaga yaroqlilik isbotisiz zaif dasturiy taʼminot versiyasining oshkor etilishi
Xizmatimizning ishdan chiqishiga (DoS) olib keladigan har qanday xatti-harakatlar
Rut himoyasining yoʻqligi / Rut himoyasini aylanib oʻtish (mobil ilovalar)
SSL-sertifikat pinningining yoʻqligi / SSL-sertifikat pinningini aylanib oʻtish (mobil ilovalar)
Kodni chalkashtirishning yoʻqligi (mobil ilovalar)
2.5. Javob berish vaqtlari
Trading Point harakatlarini siz bilan imkon qadar ochiq va tez muvofiqlashtirishga harakat qiladi va dasturimizda ishtirok etayotgan tadqiqotchilarga quyidagi javob berish vaqtiga oid talablarni qanoatlantirishga intiladi:
Birinchi javob berish vaqti (hisobot topshirilgan kundan boshlab) uch (3) ish kuni. Uch ish kuni ichida biz hisobotingiz qabul qilinganini tasdiqlaymiz.
Ustivorlikni belgilash vaqti (hisobot yuborilgan kundan boshlab) besh (5) ish kuni.
Imkoniyatimizdan kelib chiqib, biz zaiflikning mavjudligini sizga tasdiqlaymiz va tuzatish jarayonida qanday odimlar tashlashimiz borasida hamda muammoni hal etishni kechiktirishi mumkin boʻlgan qiyinchiliklar yoki muammolar haqida sizga shaffoff maʼlumot berishga urinamiz. Butun jarayon davomida sizga amalga oshirilayotgan ishlar haqida xabar berishga urinamiz.
3. Mukofotlar
Biz ushbu siyosat boʻyicha zaifliklar haqida xabar berish uchun vaqt ajratgan insonlarni qadrlaymiz. Ammo, hozirda zaifliklarni oshkor etganlik uchun biz mukofot taklif etmaymiz. Bu holat kelajakda oʻzgarishi mumkin.
4. Fikr-mulohazalar
Agar bu siyosat borasida fikr-mulohaza yoki taklif bildirmoqchi boʻlsangiz, biz bilan vulnerability.disclosure@xm.com orqali bogʻlaning.
Trading Point va foydalanuvchilarmizning xavfsizligiga yordam berganingiz uchun rahmat.
5. PGP kaliti izi
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Eslatma: Xabarlaringizni yuqoridagi PGP kaliti bilan shifrlang va oʻz ochiq kalitingizni xatga kiriting.