Letzte Aktualisierung: 08.03.2021
Hallo, Insektenjäger! Wir freuen uns sehr, dass Sie hier sind, um uns dabei zu helfen, XposedOrNot
(XON) sicher und geschützt zu halten. Ich habe diese Richtlinie zur verantwortungsvollen Offenlegung
eingerichtet, um sicherzustellen, dass alle nett sind und uns helfen, unsere Dienste, unsere Website und
unser Netzwerk vor lästigen Fehlern oder Schwachstellen zu schützen.
Wenn Sie etwas finden, das meine Aufmerksamkeit erfordert, schätze ich Ihre Kooperation bei der
verantwortungsvollen Untersuchung und Meldung, damit ich das Problem schneller beheben kann als eine rasende
Kugel. Ihre Hilfe bei der Offenlegung von Sicherheitslücken hilft uns, die Sicherheit aller unserer Benutzer
zu gewährleisten.
Richtlinien für die Berichterstattung:
Wenn Sie einen Fehler oder eine Schwachstelle melden, stellen Sie bitte sicher, dass Sie Folgendes
angeben:
- Eine klare Beschreibung des Fehlers oder der Schwachstelle mit einigen Beweisen wie Screenshots oder
Ausgabedaten. Seien Sie nicht schüchtern, wir freuen uns, zu sehen, was Sie gefunden haben!
- Eine Beschreibung der möglichen Auswirkungen der Sicherheitslücke, damit wir wissen, womit wir es zu
tun haben.
- Ihr bevorzugter Name oder Benutzername, damit wir Ihnen in unserer XON Security Researcher Hall of
Fame die Anerkennung geben können, die Sie verdienen.
- Genaue Schritte zur Reproduktion des Problems, damit wir es auf unserer Seite reproduzieren können.
- Ein Video-Proof-of-Concept ist immer willkommen, wenn Sie einen haben.
- Alle relevanten Informationen zu Plattformen, Betriebssystemen, Versionen, IP-Adressen oder URLs.
- Belege wie Protokollierungs- oder Rückverfolgungsdaten sind immer hilfreich.
- Ihre Einschätzung, wie ausnutzbar das Problem sein könnte. Wir verurteilen Sie nicht, wenn die
Ausnutzbarkeitsskala 10 von 10 Punkten beträgt.
Vielen Dank, dass Sie ein großartiger Bug-Jäger sind 🙌 und uns dabei helfen, XposedOrNot (XON) sicher und
zuverlässig zu halten!
Gültige Einsendungen
- Lokale oder Remote-Dateieinbindung
- Authentifizierungsumgehung
- Verzeichnisdurchquerung
- Unbefugter/unbeabsichtigter Datenverlust
- Remote-Codeausführung (RCE)
- SQL/XXE-Injection und Command-Injection
- Cross-Site-Scripting (XSS)
- Serverseitige Anforderungsfälschung (SSRF)
- Fehlkonfigurationsprobleme auf Servern oder API
- Probleme im Zusammenhang mit der Authentifizierung und Autorisierung
- Cross-Site-Request-Fälschungen (CSRF)
In Bereichsdomänen
- https://xposedornot.com
- https://api.xposedornot.com
- https://passwords.xposedornot.com
Verwendung von Informationen
Wir versprechen, alle Informationen über Sie und unsere Dienstleistungen vertraulich zu behandeln. Bitte
erzählen Sie niemandem außerhalb unseres Teams davon!
Uns geht es darum, das Internet sicherer zu machen, und wir schätzen Sicherheitsforscher, die uns dabei
helfen, dieses Ziel zu erreichen. Ein großes Dankeschön 🙏 an Sie, dass Sie Teil dieser Bemühungen sind!
Indem Sie alle von Ihnen gefundenen Fehler oder Schwachstellen verantwortungsbewusst offenlegen, helfen Sie
uns, unsere Benutzer und ihre Daten zu schützen.
Richtlinien zur akzeptablen Nutzung
Nur eine Vorwarnung: Dies ist kein typisches Bug-Bounty-Programm, bei dem wir Geldprämien für die
Einreichung von Schwachstellen anbieten. Wir bestehen (noch) nicht aus Geld. Wenn Sie uns jedoch etwas
Wichtiges mitteilen, zeigen wir Ihnen möglicherweise im Gegenzug etwas Liebe und Wertschätzung!
Achte nur darauf, dass es ethisch vertretbar bleibt, okay? Wir erwarten von Ihnen, dass Sie sich wie ein
guter Bürger des Internets verhalten und die Regeln befolgen, die wir in unserer Richtlinie zur akzeptablen
Nutzung festgelegt haben. Aber wenn Sie das tun, geben wir Ihnen gerne eine gewisse Anerkennung auf unserer
Hall of Fame-Seite – die so etwas wie unsere Version des Hollywood Walk of Fame ist, nur für
Sicherheitsforscher. Also legen Sie los, zeigen Sie Ihre Fähigkeiten und helfen Sie uns, XposedOrNot zu
einem sichereren Ort für alle zu machen!
Bug Reporter – Erwartungen
Insektenjäger, wir freuen uns, Sie an Bord zu haben und uns dabei zu helfen, XposedOrNot zu einem sichereren
Ort für alle zu machen! Bevor Sie beginnen, erwarten wir Folgendes von Ihnen:
- Bitte tun Sie nichts, was XposedOrNot oder unseren Benutzern schaden oder stören könnte.
- Wir senden Ihnen innerhalb von 1–3 Tagen nach Erhalt Ihres Berichts eine Bestätigung.
- Respektieren Sie die Privatsphäre unserer Benutzer und versuchen Sie nicht, deren Konten
auszuspionieren.
- Testen Sie nur mit Ihren eigenen Konten und E-Mail-Adressen.
- Wenn Sie eine kritische Schwachstelle finden, die Ihnen Zugriff auf unseren Webserver oder unsere API
ermöglicht, stoppen Sie bitte hier und überlassen Sie uns die Arbeit.
- Geben Sie keine Details zu dem Problem weiter, bis wir es gelöst haben.
- Wenn Sie versuchen, die Sicherheitslücke zum persönlichen Vorteil auszunutzen, müssen wir Ihre
Meldung disqualifizieren.
Wir danken Ihnen für Ihre Mitarbeit, die uns dabei hilft, die Sicherheit unserer Plattform zu gewährleisten.
Lassen Sie uns zusammenarbeiten, um XposedOrNot so gut wie möglich zu machen!