Ultimo aggiornamento: 26-ago-2025

Ciao a tutti, cacciatori di bug! Siamo felicissimi che tu sia qui per aiutarci a mantenere XposedOrNot (XON) sicuro e protetto. Ho creato questa Politica di divulgazione responsabile per fare in modo che tutti collaborino correttamente e ci aiutino a proteggere i nostri servizi, il sito web e la rete da qualsiasi fastidioso bug o vulnerabilità.

Se trovi qualcosa che richiede la mia attenzione, ti ringrazio per la collaborazione nell'indagare e segnalare il problema in modo responsabile, così posso correggerlo in un lampo. Il tuo aiuto nel divulgare le vulnerabilità di sicurezza ci permette di proteggere tutti i nostri utenti.

Linee guida per la segnalazione:


Quando segnali un bug o una vulnerabilità, assicurati di includere quanto segue:
  1. Una descrizione chiara del bug o della vulnerabilità, con alcune prove come screenshot o dati di output. Non essere timido, ci piace vedere cosa hai scoperto!
  2. Una descrizione del potenziale impatto della vulnerabilità, così sappiamo con cosa abbiamo a che fare.
  3. Il nome o lo pseudonimo che preferisci, così possiamo darti il riconoscimento che meriti nella nostra XON Security Researcher Hall of Fame.
  4. I passaggi esatti per riprodurre il problema, così possiamo replicarlo dalla nostra parte.
  5. Un proof of concept (dimostrazione pratica) in video è sempre apprezzato, se ne hai uno.
  6. Qualsiasi informazione rilevante su piattaforme, sistemi operativi, versioni, indirizzi IP o URL.
  7. Prove di supporto come dati di log o di tracciamento sono sempre utili.
  8. La tua valutazione di quanto possa essere sfruttabile il problema. Non ti giudicheremo se è un 10 su 10 sulla scala di sfruttabilità.
Grazie per essere un fantastico cacciatore di bug 🙌 e per aiutarci a mantenere XposedOrNot (XON) al sicuro!

Segnalazioni valide


  1. Local o Remote File Inclusion (LFI/RFI)
  2. Bypass dell'autenticazione
  3. Directory Traversal
  4. Fuga di dati non autorizzata o non intenzionale
  5. Remote code execution (RCE)
  6. SQL/XXE Injection e command injection
  7. Cross-Site Scripting (XSS)
  8. Server side request forgery (SSRF)
  9. Problemi di configurazione errata su server o API
  10. Problemi relativi ad autenticazione e autorizzazione
  11. Cross site request forgery (CSRF)

Domini inclusi nel perimetro


Dominio principale: xposedornot.com

Sottodomini: Tutti i sottodomini di xposedornot.com (*.xposedornot.com)


Questo include, a titolo esemplificativo ma non esaustivo: api.xposedornot.com, passwords.xposedornot.com, plus.xposedornot.com e qualsiasi sottodominio futuro.


Utilizzo delle informazioni


Ci impegniamo a mantenere riservate tutte le informazioni su di te e sui nostri servizi. Quindi, per favore, non rivelarle a nessuno al di fuori del nostro team!

Il nostro obiettivo è rendere internet un posto più sicuro e apprezziamo i ricercatori di sicurezza che ci aiutano a raggiungerlo. Quindi, un grande grazie 🙏 a te per essere parte di questo impegno! Divulgando in modo responsabile i bug o le vulnerabilità che trovi, ci aiuti a proteggere i nostri utenti e i loro dati.

Politica di utilizzo accettabile


Una piccola precisazione: questo non è il tipico programma di bug bounty in cui offriamo ricompense in denaro per le segnalazioni di vulnerabilità. Non siamo (ancora) pieni di soldi. Tuttavia, se ci segnali qualcosa di importante, potremmo mostrarti tutto il nostro affetto e la nostra gratitudine in cambio!

Basta che tu rimanga etico, va bene? Ci aspettiamo che tu ti comporti da buon cittadino di internet e che segua le regole che abbiamo indicato nella nostra Politica di utilizzo accettabile. Ma se lo fai, saremo felici di darti un riconoscimento nella nostra pagina Hall of Fame, che è un po' la nostra versione della Hollywood Walk of Fame, ma per i ricercatori di sicurezza. Quindi vai, metti in mostra le tue capacità e aiutaci a rendere XposedOrNot un posto più sicuro per tutti!

Aspettative nei confronti di chi segnala bug


Cacciatori di bug, siamo entusiasti di averti con noi per aiutarci a rendere XposedOrNot un posto più sicuro per tutti! Prima di iniziare, ecco alcune cose che ci aspettiamo da te:

  1. Ti preghiamo di non fare nulla che possa danneggiare o interrompere XposedOrNot o i nostri utenti.
  2. Ti invieremo una conferma di ricezione entro 1-3 giorni dalla ricezione della tua segnalazione.
  3. Rispetta la privacy dei nostri utenti e non curiosare nei loro account.
  4. Effettua i test solo sui tuoi account e sui tuoi indirizzi email.
  5. Se trovi una vulnerabilità critica che ti dà accesso al nostro server web o all'API, fermati a quel punto e lascia che ce ne occupiamo noi.
  6. Non condividere alcun dettaglio sul problema finché non lo abbiamo risolto.
  7. Se tenti di sfruttare la vulnerabilità per tornaconto personale, dovremo squalificare la tua segnalazione.

Apprezziamo la tua collaborazione nell'aiutarci a mantenere sicura la nostra piattaforma. Lavoriamo insieme per rendere XposedOrNot il migliore possibile!
Grazie per vegliare su di noi! Se hai scoperto un bug o una vulnerabilità di sicurezza in XposedOrNot, ci farebbe piacere saperlo. Puoi segnalarlo via email a deva @ xposedornot.com o scriverci un tweet su @DevaOnBreaches.

Email : deva @ xposedornot.com
Twitter : DevaOnBreaches