Divulgazione responsabile di bug e vulnerabilità

Ultimo aggiornamento: 08-mar-2021

Ehi, cacciatori di insetti! Siamo così felici che tu sia qui per aiutarci a mantenere XposedOrNot (XON) sicuro e protetto. Ho impostato questa politica di divulgazione responsabile per assicurarmi che tutti si comportino bene e ci aiutino a mantenere i nostri servizi, il nostro sito Web e la nostra rete al sicuro da eventuali fastidiosi bug o vulnerabilità.

Se trovi qualcosa che richiede la mia attenzione, apprezzo la tua collaborazione nell'indagare e segnalare il problema in modo responsabile in modo da poterlo risolvere più velocemente di un proiettile. Il tuo aiuto nel rivelare le vulnerabilità della sicurezza ci aiuta a mantenere tutti i nostri utenti sani e salvi.

Linee guida per la segnalazione:


Quando segnali un bug o una vulnerabilità, assicurati di includere quanto segue:
  1. Una descrizione chiara del bug o della vulnerabilità, con alcune prove come schermate o dati di output. Non essere timido, adoriamo vedere cosa hai trovato!
  2. Una descrizione del potenziale impatto della vulnerabilità, così sappiamo con cosa abbiamo a che fare.
  3. Il tuo nome o nickname preferito, così potremo darti il riconoscimento che meriti nella nostra XON Security Researcher Hall of Fame.
  4. Passaggi esatti per riprodurre il problema in modo da poterlo replicare da parte nostra.
  5. Una prova video di concetto è sempre apprezzata se ne hai una.
  6. Qualsiasi informazione rilevante su piattaforme, sistemi operativi, versioni, indirizzi IP o URL.
  7. È sempre utile fornire prove a sostegno, come la registrazione o il tracciamento dei dati.
  8. La tua valutazione su quanto potrebbe essere sfruttabile il problema. Non ti giudicheremo se è un 10 su 10 sulla scala di sfruttabilità.
Grazie per essere un fantastico cacciatore di bug 🙌 e per averci aiutato a mantenere XposedOrNot (XON) sano e salvo!

Invii validi


  1. Inclusione di file locali o remoti
  2. Bypass dell'autenticazione
  3. Attraversamento delle directory
  4. Perdita di dati non autorizzata/non intenzionale
  5. Esecuzione del codice remoto (RCE)
  6. SQL/XXE Injection e inserimento di comandi
  7. Scripting tra siti (XSS)
  8. Falsificazione delle richieste lato server (SSRF)
  9. Problemi di configurazione errata su server o API
  10. Problemi relativi all'autenticazione e all'autorizzazione
  11. Falsificazioni di richieste tra siti (CSRF)

Domini nell'ambito


  1. https://xposedornot.com
  2. https://api.xposedornot.com
  3. https://passwords.xposedornot.com

Usi delle informazioni


Promettiamo di mantenere riservate tutte le informazioni su di te e sui nostri servizi. Quindi, per favore, non rivelare nulla a nessuno al di fuori del nostro team!

Il nostro obiettivo è rendere Internet un luogo più sicuro e apprezziamo i ricercatori di sicurezza che ci aiutano a raggiungere questo obiettivo. Quindi, un grande grazie 🙏 a te per aver preso parte a questo sforzo! Divulgando in modo responsabile eventuali bug o vulnerabilità riscontrati, ci aiuti a proteggere i nostri utenti e i loro dati.

Politica di utilizzo accettabile


Solo un avvertimento: questo non è il tipico programma di ricompensa dei bug in cui offriamo premi in denaro per le segnalazioni di vulnerabilità. Non siamo fatti di soldi (ancora). Tuttavia, se ci segnali qualcosa di importante, potremmo semplicemente mostrarti un po' di amore e apprezzamento in cambio!

Assicurati solo di mantenerlo etico, ok? Ci aspettiamo che tu ti comporti come un buon cittadino di Internet e segua le regole che abbiamo stabilito nella nostra Politica di utilizzo accettabile. Ma se lo fai, saremo lieti di darti qualche riconoscimento sulla nostra pagina Hall of Fame, che è un po' come la nostra versione della Hollywood Walk of Fame, ma per i ricercatori di sicurezza. Quindi vai avanti, metti in mostra le tue abilità e aiutaci a rendere XposedOrNot un posto più sicuro per tutti!

Segnalatori di bug - Aspettative


Cacciatori di bug, siamo entusiasti di averti a bordo per aiutarci a rendere XposedOrNot un posto più sicuro per tutti! Prima di iniziare, ecco alcune cose che ci aspettiamo da te:

  1. Per favore, non fare nulla che possa ferire o disturbare XposedOrNot o i nostri utenti.
  2. Ti invieremo una conferma entro 1-3 giorni dalla ricezione della segnalazione.
  3. Rispetta la privacy dei nostri utenti e non cercare di curiosare nei loro account.
  4. Testalo solo sui tuoi account e indirizzi email.
  5. Se trovi una vulnerabilità critica che ti dà accesso al nostro server web o API, fermati qui e lasciaci prendere il controllo.
  6. Non condividere alcun dettaglio sul problema finché non lo avremo risolto.
  7. Se tenti di sfruttare la vulnerabilità per guadagno personale, dovremo squalificare la tua segnalazione.

Apprezziamo la tua collaborazione nell'aiutarci a mantenere sicura la nostra piattaforma. Lavoriamo insieme per rendere XposedOrNot il migliore possibile!

Linee guida per la segnalazione

Grazie per esserti preso cura di noi! Se hai scoperto un bug o una vulnerabilità della sicurezza in XposedOrNot, ci piacerebbe saperlo. Puoi segnalarlo via email adeva[@]xposedornot.com o twittaci@DevaOnBreaches.

E-mail: deva[@]xposedornot.com
Twitter:DevaOnBreaches