Zuletzt aktualisiert: 26.08.2025

Hallo, liebe Bug-Hunter! Wir freuen uns sehr, dass Sie uns dabei helfen, XposedOrNot (XON) sicher und geschützt zu halten. Ich habe diese Responsible-Disclosure-Richtlinie eingerichtet, um sicherzustellen, dass alle fair handeln und uns dabei helfen, unsere Dienste, unsere Website und unser Netzwerk vor lästigen Bugs oder Sicherheitslücken zu schützen.

Wenn Sie etwas finden, das meine Aufmerksamkeit erfordert, bin ich Ihnen für Ihre Mitarbeit dankbar, es verantwortungsvoll zu untersuchen und zu melden, damit ich es so schnell wie möglich beheben kann. Ihre Hilfe bei der Offenlegung von Sicherheitslücken trägt dazu bei, dass alle unsere Nutzer sicher bleiben.

Richtlinien für die Meldung:


Wenn Sie einen Bug oder eine Sicherheitslücke melden, geben Sie bitte unbedingt die folgenden Angaben an:
  1. Eine klare Beschreibung des Bugs oder der Sicherheitslücke, zusammen mit Belegen wie Screenshots oder Ausgabedaten. Seien Sie nicht schüchtern – wir sehen gerne, was Sie gefunden haben!
  2. Eine Beschreibung der möglichen Auswirkungen der Sicherheitslücke, damit wir wissen, womit wir es zu tun haben.
  3. Ihren bevorzugten Namen oder Ihr Pseudonym, damit wir Ihnen die verdiente Anerkennung in unserer XON Security Researcher Hall of Fame zukommen lassen können.
  4. Genaue Schritte zur Reproduktion des Problems, damit wir es bei uns nachstellen können.
  5. Ein Video als Proof of Concept (Machbarkeitsnachweis) ist immer willkommen, falls Sie eines haben.
  6. Alle relevanten Informationen zu Plattformen, Betriebssystemen, Versionen, IP-Adressen oder URLs.
  7. Belege wie Protokoll- oder Tracing-Daten sind immer hilfreich.
  8. Ihre Einschätzung, wie gut sich das Problem ausnutzen lässt. Wir urteilen nicht, wenn es eine glatte 10 von 10 auf der Ausnutzbarkeitsskala ist.
Danke, dass Sie ein großartiger Bug-Hunter sind 🙌 und uns dabei helfen, XposedOrNot (XON) sicher zu halten!

Gültige Einreichungen


  1. Local oder Remote File Inclusion (LFI/RFI)
  2. Umgehung der Authentifizierung
  3. Directory Traversal
  4. Unbefugter/unbeabsichtigter Datenabfluss
  5. Remote Code Execution (RCE)
  6. SQL-/XXE-Injection und Command Injection
  7. Cross-Site Scripting (XSS)
  8. Server-Side Request Forgery (SSRF)
  9. Fehlkonfigurationen auf Servern oder der API
  10. Probleme im Zusammenhang mit Authentifizierung und Autorisierung
  11. Cross-Site Request Forgery (CSRF)

Domains im Geltungsbereich


Primäre Domain: xposedornot.com

Subdomains: Alle Subdomains von xposedornot.com (*.xposedornot.com)


Dazu gehören unter anderem: api.xposedornot.com, passwords.xposedornot.com, plus.xposedornot.com sowie alle künftigen Subdomains.


Verwendung von Informationen


Wir versprechen, alle Informationen über Sie und unsere Dienste vertraulich zu behandeln. Bitte verraten Sie also nichts an Personen außerhalb unseres Teams!

Wir setzen uns dafür ein, das Internet zu einem sichereren Ort zu machen, und schätzen Sicherheitsforscher, die uns dabei unterstützen. Daher ein großes Dankeschön 🙏, dass Sie ein Teil dieses Bestrebens sind! Indem Sie alle von Ihnen gefundenen Bugs oder Sicherheitslücken verantwortungsvoll offenlegen, helfen Sie uns, unsere Nutzer und deren Daten zu schützen.

Richtlinie zur akzeptablen Nutzung


Nur zur Info: Dies ist kein typisches Bug-Bounty-Programm, bei dem wir Geldprämien für eingereichte Sicherheitslücken zahlen. Wir schwimmen (noch) nicht im Geld. Wenn Sie uns jedoch etwas Wichtiges melden, zeigen wir Ihnen im Gegenzug vielleicht unsere Wertschätzung!

Achten Sie nur bitte darauf, ethisch zu handeln, einverstanden? Wir erwarten von Ihnen, dass Sie sich wie ein guter Bürger des Internets verhalten und die Regeln befolgen, die wir in unserer Richtlinie zur akzeptablen Nutzung festgelegt haben. Wenn Sie das tun, würdigen wir Sie gerne auf unserer Hall-of-Fame-Seite – das ist sozusagen unsere Version des Hollywood Walk of Fame, nur für Sicherheitsforscher. Zeigen Sie also ruhig Ihr Können und helfen Sie uns, XposedOrNot für alle sicherer zu machen!

Erwartungen an Bug-Melder


Liebe Bug-Hunter, wir freuen uns, Sie an Bord zu haben, um XposedOrNot für alle sicherer zu machen! Bevor Sie loslegen, hier ein paar Dinge, die wir von Ihnen erwarten:

  1. Bitte unternehmen Sie nichts, was XposedOrNot oder unseren Nutzern schaden oder den Betrieb stören würde.
  2. Wir senden Ihnen innerhalb von 1–3 Tagen nach Eingang Ihrer Meldung eine Bestätigung.
  3. Respektieren Sie die Privatsphäre unserer Nutzer und versuchen Sie nicht, in deren Konten herumzuschnüffeln.
  4. Testen Sie nur mit Ihren eigenen Konten und E-Mail-Adressen.
  5. Wenn Sie eine kritische Sicherheitslücke finden, die Ihnen Zugriff auf unseren Webserver oder unsere API verschafft, halten Sie bitte an dieser Stelle inne und überlassen Sie uns das Weitere.
  6. Geben Sie keine Details zu dem Problem weiter, bevor wir es behoben haben.
  7. Wenn Sie versuchen, die Sicherheitslücke zum eigenen Vorteil auszunutzen, müssen wir Ihre Meldung leider disqualifizieren.

Wir danken Ihnen für Ihre Mitarbeit, mit der Sie uns helfen, unsere Plattform sicher zu halten. Lassen Sie uns gemeinsam daran arbeiten, XposedOrNot bestmöglich zu gestalten!
Danke, dass Sie auf uns achten! Wenn Sie einen Bug oder eine Sicherheitslücke in XposedOrNot entdeckt haben, würden wir gerne davon erfahren. Sie können dies per E-Mail an deva @ xposedornot.com melden oder uns auf Twitter unter @DevaOnBreaches schreiben.

E-Mail : deva @ xposedornot.com
Twitter : DevaOnBreaches