Divulgación responsable de errores y vulnerabilidades

Última actualización: 26-ago-2025

¡Hola, cazadores de errores! Nos alegra mucho que esté aquí para ayudarnos a mantener XposedOrNot (XON) seguro y protegido. He creado esta Política de divulgación responsable para garantizar que todos colaboren correctamente y nos ayuden a mantener nuestros servicios, sitio web y red a salvo de cualquier error o vulnerabilidad.

Si encuentra algo que requiera mi atención, le agradezco su cooperación al investigarlo y notificarlo de forma responsable, para que pueda corregirlo con la mayor rapidez posible. Su ayuda en la divulgación de vulnerabilidades de seguridad nos permite mantener a salvo a todos nuestros usuarios.

Directrices para la notificación:


Al notificar un error o una vulnerabilidad, asegúrese de incluir lo siguiente:
  1. Una descripción clara del error o la vulnerabilidad, con alguna evidencia como capturas de pantalla o datos de salida. No sea tímido: ¡nos encanta ver lo que ha descubierto!
  2. Una descripción del posible impacto de la vulnerabilidad, para que sepamos a qué nos enfrentamos.
  3. Su nombre o alias preferido para que podamos darle el reconocimiento que merece en nuestro Salón de la Fama de Investigadores de Seguridad de XON.
  4. Los pasos exactos para reproducir el problema, de modo que podamos replicarlo por nuestra parte.
  5. Una prueba de concepto en vídeo siempre se agradece, si dispone de una.
  6. Cualquier información relevante sobre plataformas, sistemas operativos, versiones, direcciones IP o URL.
  7. La evidencia de apoyo, como datos de registro o de rastreo, siempre resulta útil.
  8. Su evaluación de cuán explotable podría ser el problema. No le juzgaremos si es un 10 sobre 10 en la escala de explotabilidad.
¡Gracias por ser un excelente cazador de errores 🙌 y por ayudarnos a mantener XposedOrNot (XON) seguro y protegido!

Informes válidos


  1. Inclusión de archivos local o remota (LFI/RFI)
  2. Elusión de la autenticación
  3. Recorrido de directorios
  4. Fuga de datos no autorizada o no intencionada
  5. Ejecución remota de código (RCE)
  6. Inyección SQL/XXE e inyección de comandos
  7. Cross-Site Scripting (XSS)
  8. Falsificación de solicitudes del lado del servidor (SSRF)
  9. Problemas de configuración incorrecta en servidores o API
  10. Problemas relacionados con la autenticación y la autorización
  11. Falsificación de solicitudes entre sitios (CSRF)

Dominios dentro del alcance


Dominio principal: xposedornot.com

Subdominios: Todos los subdominios de xposedornot.com (*.xposedornot.com)


Esto incluye, entre otros: api.xposedornot.com, passwords.xposedornot.com, plus.xposedornot.com y cualquier subdominio futuro.


Usos de la información


Nos comprometemos a mantener confidencial toda la información sobre usted y sobre nuestros servicios. Por lo tanto, ¡le rogamos que no revele nada a nadie ajeno a nuestro equipo!

Nuestro objetivo es hacer de internet un lugar más seguro, y valoramos a los investigadores de seguridad que nos ayudan a lograrlo. Por eso, ¡muchas gracias 🙏 por formar parte de ese esfuerzo! Al divulgar de forma responsable cualquier error o vulnerabilidad que encuentre, nos ayuda a proteger a nuestros usuarios y sus datos.

Política de uso aceptable


Solo un aviso: este no es el típico programa de «bug bounty» (recompensas por errores) en el que ofrecemos premios en efectivo por los informes de vulnerabilidades. No estamos forrados de dinero (todavía). Sin embargo, si nos comunica algo importante, ¡es posible que le mostremos nuestro cariño y agradecimiento a cambio!

Eso sí, manténgalo todo dentro de lo ético, ¿de acuerdo? Esperamos que actúe como un buen ciudadano de internet y que siga las normas que hemos establecido en nuestra Política de uso aceptable. Si lo hace, con gusto le daremos reconocimiento en nuestra página del Salón de la Fama, que viene a ser nuestra versión del Paseo de la Fama de Hollywood, pero para investigadores de seguridad. Así que adelante, demuestre sus habilidades y ayúdenos a hacer de XposedOrNot un lugar más seguro para todos.

Lo que esperamos de quienes notifican errores


¡Cazadores de errores, nos entusiasma contar con usted para ayudarnos a hacer de XposedOrNot un lugar más seguro para todos! Antes de empezar, estas son algunas cosas que esperamos de usted:

  1. Le rogamos que no realice ninguna acción que pueda perjudicar o interrumpir XposedOrNot o a nuestros usuarios.
  2. Le enviaremos un acuse de recibo en un plazo de 1 a 3 días desde la recepción de su informe.
  3. Respete la privacidad de nuestros usuarios y no intente husmear en sus cuentas.
  4. Realice pruebas únicamente en sus propias cuentas y direcciones de correo electrónico.
  5. Si encuentra una vulnerabilidad crítica que le da acceso a nuestro servidor web o API, deténgase ahí y permítanos tomar el control.
  6. No comparta ningún detalle sobre el problema hasta que lo hayamos resuelto.
  7. Si intenta explotar la vulnerabilidad para beneficio personal, tendremos que descalificar su informe.

Agradecemos su cooperación para ayudarnos a mantener segura nuestra plataforma. ¡Trabajemos juntos para que XposedOrNot sea lo mejor posible!

Directrices de notificación

¡Gracias por velar por nosotros! Si ha descubierto un error o una vulnerabilidad de seguridad en XposedOrNot, nos encantaría que nos lo contara. Puede notificarlo por correo electrónico a deva @ xposedornot.com o mencionarnos en un tuit en @DevaOnBreaches.

Correo electrónico : deva @ xposedornot.com
Twitter : DevaOnBreaches

¡Únase a nosotros para dar forma a este sitio totalmente de código abierto! Las contribuciones son bienvenidas ❤️ en nuestro GitHub.

Legal
Política de privacidad Términos de uso
Comunidad
Blog Nuestro repositorio
Confianza
Estado Transparencia Divulgación responsable
Síguenos
Twitter (X) Facebook Mastodon