Zuletzt aktualisiert: 26.08.2025
Hallo, liebe Bug-Hunter! Wir freuen uns sehr, dass Sie uns
dabei helfen, XposedOrNot (XON) sicher und geschützt zu halten. Ich
habe diese Responsible-Disclosure-Richtlinie eingerichtet, um
sicherzustellen, dass alle fair handeln und uns dabei helfen,
unsere Dienste, unsere Website und unser Netzwerk vor lästigen Bugs
oder Sicherheitslücken zu schützen.
Wenn Sie etwas finden, das meine Aufmerksamkeit erfordert, bin ich
Ihnen für Ihre Mitarbeit dankbar, es verantwortungsvoll zu
untersuchen und zu melden, damit ich es so schnell wie möglich
beheben kann. Ihre Hilfe bei der Offenlegung von Sicherheitslücken
trägt dazu bei, dass alle unsere Nutzer sicher bleiben.
Richtlinien für die Meldung:
Wenn Sie einen Bug oder eine Sicherheitslücke melden, geben Sie
bitte unbedingt die folgenden Angaben an:
-
Eine klare Beschreibung des Bugs oder der Sicherheitslücke,
zusammen mit Belegen wie Screenshots oder Ausgabedaten. Seien
Sie nicht schüchtern – wir sehen gerne, was Sie gefunden haben!
-
Eine Beschreibung der möglichen Auswirkungen der
Sicherheitslücke, damit wir wissen, womit wir es zu tun haben.
-
Ihren bevorzugten Namen oder Ihr Pseudonym, damit wir Ihnen die
verdiente Anerkennung in unserer XON Security Researcher Hall of
Fame zukommen lassen können.
-
Genaue Schritte zur Reproduktion des Problems, damit wir es bei
uns nachstellen können.
-
Ein Video als Proof of Concept (Machbarkeitsnachweis) ist immer
willkommen, falls Sie eines haben.
-
Alle relevanten Informationen zu Plattformen, Betriebssystemen,
Versionen, IP-Adressen oder URLs.
-
Belege wie Protokoll- oder Tracing-Daten sind immer hilfreich.
-
Ihre Einschätzung, wie gut sich das Problem ausnutzen lässt. Wir
urteilen nicht, wenn es eine glatte 10 von 10 auf der
Ausnutzbarkeitsskala ist.
Danke, dass Sie ein großartiger Bug-Hunter sind 🙌 und uns dabei
helfen, XposedOrNot (XON) sicher zu halten!
Gültige Einreichungen
- Local oder Remote File Inclusion (LFI/RFI)
- Umgehung der Authentifizierung
- Directory Traversal
- Unbefugter/unbeabsichtigter Datenabfluss
- Remote Code Execution (RCE)
- SQL-/XXE-Injection und Command Injection
- Cross-Site Scripting (XSS)
- Server-Side Request Forgery (SSRF)
- Fehlkonfigurationen auf Servern oder der API
- Probleme im Zusammenhang mit Authentifizierung und Autorisierung
- Cross-Site Request Forgery (CSRF)
Domains im Geltungsbereich
Primäre Domain: xposedornot.com
Subdomains: Alle Subdomains von xposedornot.com
(*.xposedornot.com)
Dazu gehören unter anderem: api.xposedornot.com,
passwords.xposedornot.com, plus.xposedornot.com sowie alle
künftigen Subdomains.
Verwendung von Informationen
Wir versprechen, alle Informationen über Sie und unsere Dienste
vertraulich zu behandeln. Bitte verraten Sie also nichts an
Personen außerhalb unseres Teams!
Wir setzen uns dafür ein, das Internet zu einem sichereren Ort zu
machen, und schätzen Sicherheitsforscher, die uns dabei
unterstützen. Daher ein großes Dankeschön 🙏, dass Sie ein Teil
dieses Bestrebens sind! Indem Sie alle von Ihnen gefundenen Bugs
oder Sicherheitslücken verantwortungsvoll offenlegen, helfen Sie
uns, unsere Nutzer und deren Daten zu schützen.
Richtlinie zur akzeptablen Nutzung
Nur zur Info: Dies ist kein typisches Bug-Bounty-Programm, bei dem
wir Geldprämien für eingereichte Sicherheitslücken zahlen. Wir
schwimmen (noch) nicht im Geld. Wenn Sie uns jedoch etwas
Wichtiges melden, zeigen wir Ihnen im Gegenzug vielleicht unsere
Wertschätzung!
Achten Sie nur bitte darauf, ethisch zu handeln, einverstanden?
Wir erwarten von Ihnen, dass Sie sich wie ein guter Bürger des
Internets verhalten und die Regeln befolgen, die wir in unserer
Richtlinie zur akzeptablen Nutzung festgelegt haben. Wenn Sie das
tun, würdigen wir Sie gerne auf unserer Hall-of-Fame-Seite – das
ist sozusagen unsere Version des Hollywood Walk of Fame, nur für
Sicherheitsforscher. Zeigen Sie also ruhig Ihr Können und helfen
Sie uns, XposedOrNot für alle sicherer zu machen!
Erwartungen an Bug-Melder
Liebe Bug-Hunter, wir freuen uns, Sie an Bord zu haben, um
XposedOrNot für alle sicherer zu machen! Bevor Sie loslegen, hier
ein paar Dinge, die wir von Ihnen erwarten:
-
Bitte unternehmen Sie nichts, was XposedOrNot oder unseren
Nutzern schaden oder den Betrieb stören würde.
-
Wir senden Ihnen innerhalb von 1–3 Tagen nach Eingang Ihrer
Meldung eine Bestätigung.
-
Respektieren Sie die Privatsphäre unserer Nutzer und versuchen
Sie nicht, in deren Konten herumzuschnüffeln.
- Testen Sie nur mit Ihren eigenen Konten und E-Mail-Adressen.
-
Wenn Sie eine kritische Sicherheitslücke finden, die Ihnen
Zugriff auf unseren Webserver oder unsere API verschafft, halten
Sie bitte an dieser Stelle inne und überlassen Sie uns das
Weitere.
-
Geben Sie keine Details zu dem Problem weiter, bevor wir es
behoben haben.
-
Wenn Sie versuchen, die Sicherheitslücke zum eigenen Vorteil
auszunutzen, müssen wir Ihre Meldung leider disqualifizieren.
Wir danken Ihnen für Ihre Mitarbeit, mit der Sie uns helfen, unsere
Plattform sicher zu halten. Lassen Sie uns gemeinsam daran
arbeiten, XposedOrNot bestmöglich zu gestalten!