Verantwortungsvolle Offenlegung von Fehlern und Schwachstellen

Letzte Aktualisierung: 08.03.2021

Hallo, Insektenjäger! Wir freuen uns sehr, dass Sie hier sind, um uns dabei zu helfen, XposedOrNot (XON) sicher und geschützt zu halten. Ich habe diese Richtlinie zur verantwortungsvollen Offenlegung eingerichtet, um sicherzustellen, dass alle nett sind und uns helfen, unsere Dienste, unsere Website und unser Netzwerk vor lästigen Fehlern oder Schwachstellen zu schützen.

Wenn Sie etwas finden, das meine Aufmerksamkeit erfordert, schätze ich Ihre Kooperation bei der verantwortungsvollen Untersuchung und Meldung, damit ich das Problem schneller beheben kann als eine rasende Kugel. Ihre Hilfe bei der Offenlegung von Sicherheitslücken hilft uns, die Sicherheit aller unserer Benutzer zu gewährleisten.

Richtlinien für die Berichterstattung:


Wenn Sie einen Fehler oder eine Schwachstelle melden, stellen Sie bitte sicher, dass Sie Folgendes angeben:
  1. Eine klare Beschreibung des Fehlers oder der Schwachstelle mit einigen Beweisen wie Screenshots oder Ausgabedaten. Seien Sie nicht schüchtern, wir freuen uns, zu sehen, was Sie gefunden haben!
  2. Eine Beschreibung der möglichen Auswirkungen der Sicherheitslücke, damit wir wissen, womit wir es zu tun haben.
  3. Ihr bevorzugter Name oder Benutzername, damit wir Ihnen in unserer XON Security Researcher Hall of Fame die Anerkennung geben können, die Sie verdienen.
  4. Genaue Schritte zur Reproduktion des Problems, damit wir es auf unserer Seite reproduzieren können.
  5. Ein Video-Proof-of-Concept ist immer willkommen, wenn Sie einen haben.
  6. Alle relevanten Informationen zu Plattformen, Betriebssystemen, Versionen, IP-Adressen oder URLs.
  7. Belege wie Protokollierungs- oder Rückverfolgungsdaten sind immer hilfreich.
  8. Ihre Einschätzung, wie ausnutzbar das Problem sein könnte. Wir verurteilen Sie nicht, wenn die Ausnutzbarkeitsskala 10 von 10 Punkten beträgt.
Vielen Dank, dass Sie ein großartiger Bug-Jäger sind 🙌 und uns dabei helfen, XposedOrNot (XON) sicher und zuverlässig zu halten!

Gültige Einsendungen


  1. Lokale oder Remote-Dateieinbindung
  2. Authentifizierungsumgehung
  3. Verzeichnisdurchquerung
  4. Unbefugter/unbeabsichtigter Datenverlust
  5. Remote-Codeausführung (RCE)
  6. SQL/XXE-Injection und Command-Injection
  7. Cross-Site-Scripting (XSS)
  8. Serverseitige Anforderungsfälschung (SSRF)
  9. Fehlkonfigurationsprobleme auf Servern oder API
  10. Probleme im Zusammenhang mit der Authentifizierung und Autorisierung
  11. Cross-Site-Request-Fälschungen (CSRF)

In Bereichsdomänen


  1. https://xposedornot.com
  2. https://api.xposedornot.com
  3. https://passwords.xposedornot.com

Verwendung von Informationen


Wir versprechen, alle Informationen über Sie und unsere Dienstleistungen vertraulich zu behandeln. Bitte erzählen Sie niemandem außerhalb unseres Teams davon!

Uns geht es darum, das Internet sicherer zu machen, und wir schätzen Sicherheitsforscher, die uns dabei helfen, dieses Ziel zu erreichen. Ein großes Dankeschön 🙏 an Sie, dass Sie Teil dieser Bemühungen sind! Indem Sie alle von Ihnen gefundenen Fehler oder Schwachstellen verantwortungsbewusst offenlegen, helfen Sie uns, unsere Benutzer und ihre Daten zu schützen.

Richtlinien zur akzeptablen Nutzung


Nur eine Vorwarnung: Dies ist kein typisches Bug-Bounty-Programm, bei dem wir Geldprämien für die Einreichung von Schwachstellen anbieten. Wir bestehen (noch) nicht aus Geld. Wenn Sie uns jedoch etwas Wichtiges mitteilen, zeigen wir Ihnen möglicherweise im Gegenzug etwas Liebe und Wertschätzung!

Achte nur darauf, dass es ethisch vertretbar bleibt, okay? Wir erwarten von Ihnen, dass Sie sich wie ein guter Bürger des Internets verhalten und die Regeln befolgen, die wir in unserer Richtlinie zur akzeptablen Nutzung festgelegt haben. Aber wenn Sie das tun, geben wir Ihnen gerne eine gewisse Anerkennung auf unserer Hall of Fame-Seite – die so etwas wie unsere Version des Hollywood Walk of Fame ist, nur für Sicherheitsforscher. Also legen Sie los, zeigen Sie Ihre Fähigkeiten und helfen Sie uns, XposedOrNot zu einem sichereren Ort für alle zu machen!

Bug Reporter – Erwartungen


Insektenjäger, wir freuen uns, Sie an Bord zu haben und uns dabei zu helfen, XposedOrNot zu einem sichereren Ort für alle zu machen! Bevor Sie beginnen, erwarten wir Folgendes von Ihnen:

  1. Bitte tun Sie nichts, was XposedOrNot oder unseren Benutzern schaden oder stören könnte.
  2. Wir senden Ihnen innerhalb von 1–3 Tagen nach Erhalt Ihres Berichts eine Bestätigung.
  3. Respektieren Sie die Privatsphäre unserer Benutzer und versuchen Sie nicht, deren Konten auszuspionieren.
  4. Testen Sie nur mit Ihren eigenen Konten und E-Mail-Adressen.
  5. Wenn Sie eine kritische Schwachstelle finden, die Ihnen Zugriff auf unseren Webserver oder unsere API ermöglicht, stoppen Sie bitte hier und überlassen Sie uns die Arbeit.
  6. Geben Sie keine Details zu dem Problem weiter, bis wir es gelöst haben.
  7. Wenn Sie versuchen, die Sicherheitslücke zum persönlichen Vorteil auszunutzen, müssen wir Ihre Meldung disqualifizieren.

Wir danken Ihnen für Ihre Mitarbeit, die uns dabei hilft, die Sicherheit unserer Plattform zu gewährleisten. Lassen Sie uns zusammenarbeiten, um XposedOrNot so gut wie möglich zu machen!

Richtlinien zur Berichterstattung

Vielen Dank, dass Sie auf uns aufgepasst haben! Wenn Sie einen Fehler oder eine Sicherheitslücke in XposedOrNot entdeckt haben, würden wir uns freuen, davon zu hören. Sie können es per E-Mail unter meldendeva @ xposedornot.com oder twittern Sie uns@DevaOnBreaches.

E-Mail: deva @ xposedornot.com
Twitter:DevaOnBreaches