Ultimo aggiornamento: 26-ago-2025
Ciao a tutti, cacciatori di bug! Siamo felicissimi che tu sia
qui per aiutarci a mantenere XposedOrNot (XON) sicuro e protetto. Ho
creato questa Politica di divulgazione responsabile per fare in modo
che tutti collaborino correttamente e ci aiutino a proteggere i
nostri servizi, il sito web e la rete da qualsiasi fastidioso bug o
vulnerabilità.
Se trovi qualcosa che richiede la mia attenzione, ti ringrazio per
la collaborazione nell'indagare e segnalare il problema in modo
responsabile, così posso correggerlo in un lampo. Il tuo aiuto nel
divulgare le vulnerabilità di sicurezza ci permette di proteggere
tutti i nostri utenti.
Linee guida per la segnalazione:
Quando segnali un bug o una vulnerabilità, assicurati di includere
quanto segue:
-
Una descrizione chiara del bug o della vulnerabilità, con
alcune prove come screenshot o dati di output. Non essere timido,
ci piace vedere cosa hai scoperto!
-
Una descrizione del potenziale impatto della vulnerabilità,
così sappiamo con cosa abbiamo a che fare.
-
Il nome o lo pseudonimo che preferisci, così possiamo darti il
riconoscimento che meriti nella nostra XON Security Researcher
Hall of Fame.
-
I passaggi esatti per riprodurre il problema, così possiamo
replicarlo dalla nostra parte.
-
Un proof of concept (dimostrazione pratica) in video è sempre
apprezzato, se ne hai uno.
-
Qualsiasi informazione rilevante su piattaforme, sistemi
operativi, versioni, indirizzi IP o URL.
-
Prove di supporto come dati di log o di tracciamento sono sempre
utili.
-
La tua valutazione di quanto possa essere sfruttabile il
problema. Non ti giudicheremo se è un 10 su 10 sulla scala di
sfruttabilità.
Grazie per essere un fantastico cacciatore di bug 🙌 e per aiutarci
a mantenere XposedOrNot (XON) al sicuro!
Segnalazioni valide
- Local o Remote File Inclusion (LFI/RFI)
- Bypass dell'autenticazione
- Directory Traversal
- Fuga di dati non autorizzata o non intenzionale
- Remote code execution (RCE)
- SQL/XXE Injection e command injection
- Cross-Site Scripting (XSS)
- Server side request forgery (SSRF)
- Problemi di configurazione errata su server o API
- Problemi relativi ad autenticazione e autorizzazione
- Cross site request forgery (CSRF)
Domini inclusi nel perimetro
Dominio principale: xposedornot.com
Sottodomini: Tutti i sottodomini di
xposedornot.com (*.xposedornot.com)
Questo include, a titolo esemplificativo ma non esaustivo:
api.xposedornot.com, passwords.xposedornot.com,
plus.xposedornot.com e qualsiasi sottodominio futuro.
Utilizzo delle informazioni
Ci impegniamo a mantenere riservate tutte le informazioni su di te
e sui nostri servizi. Quindi, per favore, non rivelarle a nessuno
al di fuori del nostro team!
Il nostro obiettivo è rendere internet un posto più sicuro e
apprezziamo i ricercatori di sicurezza che ci aiutano a
raggiungerlo. Quindi, un grande grazie 🙏 a te per essere parte di
questo impegno! Divulgando in modo responsabile i bug o le
vulnerabilità che trovi, ci aiuti a proteggere i nostri utenti e i
loro dati.
Politica di utilizzo accettabile
Una piccola precisazione: questo non è il tipico programma di bug
bounty in cui offriamo ricompense in denaro per le segnalazioni di
vulnerabilità. Non siamo (ancora) pieni di soldi. Tuttavia, se ci
segnali qualcosa di importante, potremmo mostrarti tutto il nostro
affetto e la nostra gratitudine in cambio!
Basta che tu rimanga etico, va bene? Ci aspettiamo che tu ti
comporti da buon cittadino di internet e che segua le regole che
abbiamo indicato nella nostra Politica di utilizzo accettabile. Ma
se lo fai, saremo felici di darti un riconoscimento nella nostra
pagina Hall of Fame, che è un po' la nostra versione della
Hollywood Walk of Fame, ma per i ricercatori di sicurezza. Quindi
vai, metti in mostra le tue capacità e aiutaci a rendere
XposedOrNot un posto più sicuro per tutti!
Aspettative nei confronti di chi segnala bug
Cacciatori di bug, siamo entusiasti di averti con noi per aiutarci
a rendere XposedOrNot un posto più sicuro per tutti! Prima di
iniziare, ecco alcune cose che ci aspettiamo da te:
-
Ti preghiamo di non fare nulla che possa danneggiare o
interrompere XposedOrNot o i nostri utenti.
-
Ti invieremo una conferma di ricezione entro 1-3 giorni dalla
ricezione della tua segnalazione.
-
Rispetta la privacy dei nostri utenti e non curiosare nei loro
account.
-
Effettua i test solo sui tuoi account e sui tuoi indirizzi
email.
-
Se trovi una vulnerabilità critica che ti dà accesso al nostro
server web o all'API, fermati a quel punto e lascia che ce ne
occupiamo noi.
-
Non condividere alcun dettaglio sul problema finché non lo
abbiamo risolto.
-
Se tenti di sfruttare la vulnerabilità per tornaconto
personale, dovremo squalificare la tua segnalazione.
Apprezziamo la tua collaborazione nell'aiutarci a mantenere sicura
la nostra piattaforma. Lavoriamo insieme per rendere XposedOrNot il
migliore possibile!