Divulgation responsable des bogues et vulnérabilités

Dernière mise à jour : 26 août 2025

Bonjour à toutes et à tous, chasseurs de bogues ! Nous sommes ravis que vous soyez là pour nous aider à préserver la sûreté et la sécurité de XposedOrNot (XON). J'ai mis en place cette politique de divulgation responsable afin que chacun joue le jeu et nous aide à protéger nos services, notre site web et notre réseau de tout bogue ou vulnérabilité indésirable.

Si vous découvrez un problème qui requiert mon attention, j'apprécie votre collaboration pour l'examiner et le signaler de façon responsable, afin que je puisse le corriger au plus vite. Votre contribution à la divulgation des vulnérabilités de sécurité nous aide à protéger l'ensemble de nos utilisateurs.

Directives de signalement :

Lorsque vous signalez un bogue ou une vulnérabilité, veillez à inclure les éléments suivants :

1. Une description claire du bogue ou de la vulnérabilité, accompagnée de preuves telles que des captures d'écran ou des données de sortie. N'hésitez pas, nous adorons découvrir vos trouvailles !
2. Une description de l'impact potentiel de la vulnérabilité, afin que nous sachions à quoi nous avons affaire.
3. Le nom ou le pseudonyme de votre choix, afin que nous puissions vous accorder la reconnaissance que vous méritez dans notre Tableau d'honneur des chercheurs en sécurité de XON.
4. Les étapes exactes pour reproduire le problème, afin que nous puissions le reproduire de notre côté.
5. Une preuve de concept (proof of concept) en vidéo est toujours appréciée, si vous en disposez.
6. Toute information pertinente sur les plateformes, systèmes d'exploitation, versions, adresses IP ou URL.
7. Des preuves complémentaires, comme des données de journalisation ou de traçage, sont toujours utiles.
8. Votre évaluation du degré d'exploitabilité du problème. Nous ne vous jugerons pas s'il atteint 10 sur 10 sur l'échelle d'exploitabilité.

Merci d'être un chasseur de bogues hors pair 🙌 et de nous aider à préserver la sécurité de XposedOrNot (XON) !

Soumissions valides

1. Inclusion de fichier locale ou distante (LFI/RFI)
2. Contournement d'authentification
3. Traversée de répertoires
4. Fuite de données non autorisée ou non intentionnelle
5. Exécution de code à distance (RCE)
6. Injection SQL/XXE et injection de commandes
7. Cross-Site Scripting (XSS)
8. Falsification de requête côté serveur (SSRF)
9. Problèmes de mauvaise configuration des serveurs ou de l'API
10. Problèmes liés à l'authentification et à l'autorisation
11. Falsification de requête intersites (CSRF)

Domaines concernés

Domaine principal : xposedornot.com

Sous-domaines : Tous les sous-domaines de xposedornot.com (*.xposedornot.com)

Cela inclut, sans s'y limiter : api.xposedornot.com, passwords.xposedornot.com, plus.xposedornot.com ainsi que tout futur sous-domaine.

Utilisation des informations

Nous nous engageons à préserver la confidentialité de toutes les informations vous concernant ainsi que celles relatives à nos services. Aussi, nous vous prions de ne rien divulguer à quiconque en dehors de notre équipe !

Notre objectif est de rendre Internet plus sûr, et nous sommes reconnaissants envers les chercheurs en sécurité qui nous aident à y parvenir. Un grand merci 🙏 à vous de participer à cet effort ! En divulguant de façon responsable les bogues ou vulnérabilités que vous découvrez, vous nous aidez à protéger nos utilisateurs et leurs données.

Politique d'utilisation acceptable

Petite précision : il ne s'agit pas d'un programme de bug bounty classique où nous offririons des récompenses en argent pour les soumissions de vulnérabilités. Nous ne roulons pas sur l'or (pas encore). Cependant, si vous nous signalez quelque chose d'important, il se peut que nous vous témoignions notre reconnaissance en retour !

Veillez simplement à rester éthique, d'accord ? Nous attendons de vous que vous vous comportiez en bon citoyen d'Internet et que vous respectiez les règles énoncées dans notre politique d'utilisation acceptable. Si vous le faites, nous vous accorderons avec plaisir une reconnaissance sur notre page Tableau d'honneur, qui est en quelque sorte notre version du Hollywood Walk of Fame, mais pour les chercheurs en sécurité. Alors n'hésitez pas, montrez vos talents et aidez-nous à faire de XposedOrNot un endroit plus sûr pour tous !

Attentes envers les rapporteurs de bogues

Chasseurs de bogues, nous sommes ravis de vous compter parmi ceux qui nous aident à faire de XposedOrNot un endroit plus sûr pour tous ! Avant de commencer, voici quelques attentes que nous avons à votre égard :

1. Veuillez ne rien faire qui puisse nuire à XposedOrNot ou à nos utilisateurs, ou en perturber le fonctionnement.
2. Nous vous enverrons un accusé de réception dans un délai de 1 à 3 jours après réception de votre rapport.
3. Respectez la confidentialité de nos utilisateurs et ne cherchez pas à fouiller dans leurs comptes.
4. Effectuez vos tests uniquement sur vos propres comptes et adresses e-mail.
5. Si vous découvrez une vulnérabilité critique vous donnant accès à notre serveur web ou à notre API, veuillez vous arrêter là et nous laisser prendre le relais.
6. Ne divulguez aucun détail sur le problème tant que nous ne l'avons pas résolu.
7. Si vous tentez d'exploiter la vulnérabilité à des fins personnelles, nous serons contraints de disqualifier votre rapport.

Nous vous remercions de votre collaboration pour nous aider à préserver la sécurité de notre plateforme. Travaillons ensemble pour faire de XposedOrNot la meilleure plateforme possible !