Divulgation responsable des bogues et des vulnérabilités

Dernière mise à jour : 08 mars 2021

Salut les chasseurs d'insectes ! Nous sommes très heureux que vous soyez ici pour nous aider à assurer la sécurité de XposedOrNot (XON). J'ai mis en place cette politique de divulgation responsable pour m'assurer que tout le monde joue bien et nous aide à protéger nos services, notre site Web et notre réseau de tout bug ou vulnérabilité embêtant.

Si vous trouvez quelque chose qui nécessite mon attention, j'apprécie votre coopération pour enquêter de manière responsable et le signaler afin que je puisse le réparer plus rapidement qu'une balle à grande vitesse. Votre aide dans la divulgation des vulnérabilités de sécurité nous aide à assurer la sécurité de tous nos utilisateurs.

Lignes directrices pour le signalement :


Lorsque vous signalez un bug ou une vulnérabilité, assurez-vous d'inclure les éléments suivants :
  1. Une description claire du bug ou de la vulnérabilité, avec des preuves telles que des captures d'écran ou des données de sortie. Ne soyez pas timide, nous aimons voir ce que vous avez trouvé !
  2. Une description de l'impact potentiel de la vulnérabilité, juste pour que nous sachions à quoi nous avons affaire.
  3. Votre nom ou pseudo préféré afin que nous puissions vous donner la reconnaissance que vous méritez dans notre Temple de la renommée des chercheurs en sécurité XON.
  4. Étapes exactes pour reproduire le problème afin que nous puissions le reproduire de notre côté.
  5. Une preuve de concept vidéo est toujours appréciée si vous en avez une.
  6. Toute information pertinente sur les plates-formes, les systèmes d'exploitation, les versions, les adresses IP ou les URL.
  7. Des preuves à l’appui telles que l’enregistrement ou le traçage des données sont toujours utiles.
  8. Votre évaluation de l’exploitabilité du problème. Nous ne vous jugerons pas si c'est un 10 sur 10 sur l'échelle d'exploitabilité.
Merci d'être un formidable chasseur de bugs 🙌 et de nous aider à garder XposedOrNot (XON) sain et sauf !

Soumissions valides


  1. Inclusion de fichiers locaux ou distants
  2. Contournement de l'authentification
  3. Parcours de répertoire
  4. Fuite de données non autorisée/involontaire
  5. Exécution de code à distance (RCE)
  6. Injection SQL/XXE et injection de commandes
  7. Scripts intersites (XSS)
  8. Falsification de requêtes côté serveur (SSRF)
  9. Problèmes de mauvaise configuration sur les serveurs ou l'API
  10. Problèmes liés à l'authentification et à l'autorisation
  11. Contrefaçons de demandes intersites (CSRF)

Domaines de portée


  1. https://xposedornot.com
  2. https://api.xposedornot.com
  3. https://passwords.xposedornot.com

Utilisations de l'information


Nous nous engageons à garder confidentielles toutes les informations vous concernant et sur nos services. Alors s'il vous plaît, ne révélez rien à qui que ce soit en dehors de notre équipe !

Notre objectif est de rendre Internet plus sûr, et nous apprécions les chercheurs en sécurité qui nous aident à y parvenir. Alors, un grand merci 🙏 à vous d'avoir participé à cet effort ! En divulguant de manière responsable tout bug ou vulnérabilité que vous trouvez, vous nous aidez à protéger nos utilisateurs et leurs données.

Politique d'utilisation acceptable


Juste un avertissement : il ne s'agit pas d'un programme de bug bounty typique dans lequel nous offrons des récompenses en espèces pour les soumissions de vulnérabilités. Nous ne sommes pas (encore) faits d’argent. Cependant, si vous nous signalez quelque chose d’important, nous pourrions simplement vous montrer un peu d’amour et d’appréciation en retour !

Assurez-vous simplement que cela reste éthique, d'accord ? Nous attendons de vous que vous agissez en bon citoyen d'Internet et que vous suiviez les règles que nous avons énoncées dans notre Politique d'utilisation acceptable. Mais si vous faites cela, nous serons heureux de vous accorder une certaine reconnaissance sur notre page Hall of Fame - qui est un peu comme notre version du Hollywood Walk of Fame, mais destinée aux chercheurs en sécurité. Alors n'hésitez plus, montrez vos compétences et aidez-nous à faire de XposedOrNot un endroit plus sûr pour tout le monde !

Reporteurs de bogues – Attentes


Chasseurs de bugs, nous sommes ravis de vous compter parmi nous pour nous aider à faire de XposedOrNot un endroit plus sûr pour tout le monde ! Avant de commencer, voici quelques choses que nous attendons de vous :

  1. Veuillez ne rien faire qui pourrait nuire ou perturber XposedOrNot ou nos utilisateurs.
  2. Nous vous enverrons un accusé de réception dans les 1 à 3 jours suivant la réception de votre rapport.
  3. Respectez la vie privée de nos utilisateurs et n'essayez pas de fouiner sur leurs comptes.
  4. Testez uniquement sur vos propres comptes et adresses e-mail.
  5. Si vous trouvez une vulnérabilité critique qui vous donne accès à notre serveur Web ou à notre API, arrêtez-vous là et laissez-nous prendre le relais.
  6. Ne partagez aucun détail sur le problème tant que nous ne l'avons pas résolu.
  7. Si vous essayez d'exploiter la vulnérabilité à des fins personnelles, nous devrons disqualifier votre rapport.

Nous apprécions votre coopération pour nous aider à assurer la sécurité de notre plateforme. Travaillons ensemble pour faire de XposedOrNot le meilleur possible !

Lignes directrices en matière de déclaration

Merci de veiller sur nous ! Si vous avez découvert un bug ou une vulnérabilité de sécurité dans XposedOrNot, nous serions ravis d'en entendre parler. Vous pouvez le signaler par email àdeva @ xposedornot.com ou tweetez-nous@DevaOnBreaches.

Courriel : deva @ xposedornot.com
Twitter :DevaOnBreaches