Divulgación responsable de errores y vulnerabilidades

Última actualización: 08-mar-2021

¡Hola, cazadores de insectos! Estamos muy contentos de que esté aquí para ayudarnos a mantener XposedOrNot (XON) seguro y protegido. He configurado esta Política de divulgación responsable para asegurarme de que todos actúen bien y nos ayuden a mantener nuestros servicios, sitio web y red a salvo de errores o vulnerabilidades molestas.

Si encuentra algo que necesita mi atención, agradezco su cooperación para investigarlo e informarlo de manera responsable para que pueda solucionarlo más rápido que una bala a toda velocidad. Su ayuda para revelar vulnerabilidades de seguridad nos ayuda a mantener a todos nuestros usuarios sanos y salvos.

Directrices para la presentación de informes:


Cuando informe un error o vulnerabilidad, asegúrese de incluir lo siguiente:
  1. Una descripción clara del error o vulnerabilidad, con alguna evidencia como capturas de pantalla o datos de salida. ¡No seas tímido, nos encanta ver lo que has encontrado!
  2. Una descripción del impacto potencial de la vulnerabilidad, para que sepamos a qué nos enfrentamos.
  3. Su nombre o alias preferido para que podamos brindarle el reconocimiento que se merece en nuestro Salón de la fama de investigadores de seguridad de XON.
  4. Pasos exactos para reproducir el problema para que podamos replicarlo por nuestra parte.
  5. Siempre se agradece una prueba de concepto en video si tiene una.
  6. Cualquier información relevante sobre plataformas, sistemas operativos, versiones, direcciones IP o URL.
  7. La evidencia de respaldo, como el registro o el rastreo de datos, siempre es útil.
  8. Su evaluación de cuán explotable podría ser el problema. No lo juzgaremos si es un 10 sobre 10 en la escala de explotabilidad.
¡Gracias por ser un increíble cazador de errores 🙌 y ayudarnos a mantener XposedOrNot (XON) sano y salvo!

Envíos válidos


  1. Inclusión de archivos locales o remotos
  2. Omisión de autenticación
  3. Recorrido del directorio
  4. Fuga de datos no autorizada o no intencionada
  5. Ejecución remota de código (RCE)
  6. Inyección SQL/XXE e inyección de comandos
  7. Secuencias de comandos entre sitios (XSS)
  8. Falsificación de solicitudes del lado del servidor (SSRF)
  9. Problemas de configuración incorrecta en servidores o API
  10. Problemas relacionados con la autenticación y autorización
  11. Falsificaciones de solicitudes entre sitios (CSRF)

En dominios de alcance


  1. https://xposedornot.com
  2. https://api.xposedornot.com
  3. https://contraseñas.xposedornot.com

Usos de la información


Prometemos mantener confidencial toda la información sobre usted y nuestros servicios. Así que, por favor, ¡no le cuentes la verdad a nadie fuera de nuestro equipo!

Nuestro objetivo es hacer de Internet un lugar más seguro y apreciamos a los investigadores de seguridad que nos ayudan a lograrlo. Entonces, ¡muchas gracias 🙏 a ti por ser parte de ese esfuerzo! Al revelar responsablemente cualquier error o vulnerabilidad que encuentre, nos ayuda a proteger a nuestros usuarios y sus datos.

Política de uso aceptable


Sólo un aviso: este no es el típico programa de recompensas por errores en el que ofrecemos recompensas en efectivo por envíos de vulnerabilidades. No estamos hechos de dinero (todavía). Sin embargo, si nos informa algo importante, ¡podríamos mostrarle algo de amor y aprecio a cambio!

Sólo asegúrate de ser ético, ¿de acuerdo? Esperamos que actúe como un buen ciudadano de Internet y siga las reglas que hemos establecido en nuestra Política de uso aceptable. Pero si lo hace, estaremos encantados de darle algún reconocimiento en nuestra página del Salón de la Fama, que es algo así como nuestra versión del Paseo de la Fama de Hollywood, pero para investigadores de seguridad. ¡Así que adelante, muestra tus habilidades y ayúdanos a hacer de XposedOrNot un lugar más seguro para todos!

Reporteros de errores: expectativas


Cazadores de errores, estamos emocionados de tenerlos a bordo para ayudarnos a hacer de XposedOrNot un lugar más seguro para todos. Antes de comenzar, aquí hay algunas cosas que esperamos de usted:

  1. No haga nada que pueda dañar o perturbar a XposedOrNot o a nuestros usuarios.
  2. Le enviaremos un acuse de recibo dentro de 1 a 3 días de recibir su informe.
  3. Respete la privacidad de nuestros usuarios y no intente husmear en sus cuentas.
  4. Pruebe únicamente en sus propias cuentas y direcciones de correo electrónico.
  5. Si encuentra una vulnerabilidad crítica que le brinda acceso a nuestro servidor web o API, deténgase allí y déjenos hacernos cargo.
  6. No compartas ningún detalle sobre el problema hasta que lo hayamos resuelto.
  7. Si intenta explotar la vulnerabilidad para beneficio personal, tendremos que descalificar su informe.

Apreciamos su cooperación para ayudarnos a mantener nuestra plataforma segura. ¡Trabajemos juntos para hacer de XposedOrNot lo mejor posible!

Directrices para la presentación de informes

¡Gracias por cuidarnos! Si ha descubierto un error o una vulnerabilidad de seguridad en XposedOrNot, nos encantaría saberlo. Puedes reportarlo vía correo electrónico a[email protected] o twittearnos@DevaOnBreaches.

Correo electrónico: deva @ xposedornot.com
Gorjeo:DevaOnBreaches