最終更新日: 2025年8月26日

バグハンターの皆さん、こんにちは。XposedOrNot(XON)の安全とセキュリティの維持にご協力いただけることを大変うれしく思います。この責任ある開示ポリシーは、誰もが節度を守り、当社のサービス・ウェブサイト・ネットワークをあらゆる厄介なバグや脆弱性から守るためにご協力いただけるよう定めたものです。

私たちの対応を要する事象を発見された場合は、責任を持って調査・報告いただけますようお願いいたします。皆さまのご協力により、私たちはより迅速に問題を修正することができます。セキュリティ脆弱性の開示にご協力いただくことは、すべての利用者を安全に保つことにつながります。

報告に関するガイドライン:


バグや脆弱性を報告される際は、以下の情報を必ず含めてください。
  1. バグまたは脆弱性の明確な説明。スクリーンショットや出力データなどの証拠を添えてください。遠慮は無用です。皆さまの発見をぜひ拝見したいと思っています。
  2. 当該脆弱性が及ぼしうる影響の説明。私たちが対処すべき内容を把握するために必要です。
  3. ご希望のお名前またはハンドルネーム。XONセキュリティ研究者の殿堂(Hall of Fame)にて、ふさわしい形で謝意をお示しいたします。
  4. 問題を再現するための正確な手順。私たちの環境で同じ事象を再現するために必要です。
  5. 概念実証(proof of concept)の動画があれば、ぜひお寄せください。常に歓迎いたします。
  6. プラットフォーム、オペレーティングシステム、バージョン、IPアドレス、URLなどに関する関連情報。
  7. ログやトレースデータなどの裏付けとなる証拠も大いに役立ちます。
  8. 当該問題がどの程度悪用可能かについての評価。悪用可能性が10段階中10であっても、それを理由に評価を下げることはありません。
素晴らしいバグハンターとして 🙌、XposedOrNot(XON)の安全維持にご協力いただき、ありがとうございます。

有効な報告対象


  1. ローカルまたはリモートのファイルインクルージョン(LFI/RFI)
  2. 認証バイパス
  3. ディレクトリトラバーサル
  4. 許可されていない、または意図しないデータ漏洩
  5. リモートコード実行(RCE)
  6. SQL/XXEインジェクションおよびコマンドインジェクション
  7. クロスサイトスクリプティング(XSS)
  8. サーバーサイドリクエストフォージェリ(SSRF)
  9. サーバーまたはAPIの設定ミスに関する問題
  10. 認証および認可に関する問題
  11. クロスサイトリクエストフォージェリ(CSRF)

対象範囲のドメイン


主要ドメイン: xposedornot.com

サブドメイン: xposedornot.comのすべてのサブドメイン (*.xposedornot.com)


これには、api.xposedornot.com、passwords.xposedornot.com、plus.xposedornot.com、および今後追加されるすべてのサブドメインが含まれますが、これらに限定されません。


情報の取り扱い


私たちは、皆さまおよび当社のサービスに関するすべての情報を機密として取り扱うことをお約束します。したがって、私たちのチーム以外の第三者には決して情報を漏らさないようお願いいたします。

私たちはインターネットをより安全な場所にすることに全力を注いでおり、その実現に協力してくださるセキュリティ研究者の皆さまに深く感謝しています。その取り組みの一翼を担ってくださること、心より御礼申し上げます 🙏。発見されたバグや脆弱性を責任を持って開示していただくことで、利用者とそのデータの保護にご協力いただけます。

利用規定


あらかじめお伝えしておきますが、本プログラムは脆弱性の報告に対して金銭的な報奨を提供する一般的なバグバウンティ(bug bounty)プログラムではありません。私たちにはまだそれだけの資金的余裕がないのです。とはいえ、重要な事象を報告してくださった場合には、感謝の気持ちを何らかの形でお示しすることがあります。

ただし、必ず倫理的に行動してください。私たちは、皆さまがインターネットの良き市民として振る舞い、本利用規定に定めたルールに従っていただくことを期待しています。それを守っていただければ、私たちは喜んで殿堂(Hall of Fame)ページで謝意をお示しいたします。これは、いわばセキュリティ研究者のためのハリウッド・ウォーク・オブ・フェームのようなものです。ぜひその腕前を披露し、XposedOrNotを誰にとってもより安全な場所にすることにご協力ください。

バグ報告者に期待すること


バグハンターの皆さん、XposedOrNotを誰にとってもより安全な場所にするためにご参加いただけること、大変うれしく思います。始める前に、皆さまにお願いしたいことをいくつかお伝えします。

  1. XposedOrNotや利用者に損害を与えたり、業務を妨げたりするような行為は決して行わないでください。
  2. 報告を受領してから1~3日以内に、受領のご連絡をお送りします。
  3. 利用者のプライバシーを尊重し、他者のアカウントを詮索しないでください。
  4. テストは、ご自身のアカウントおよびメールアドレスに対してのみ行ってください。
  5. 当社のウェブサーバーやAPIへのアクセスを可能にする重大な脆弱性を発見した場合は、そこで作業を止め、対応は私たちにお任せください。
  6. 当該問題が解決するまで、その詳細を一切公開しないでください。
  7. 当該脆弱性を私的な利益のために悪用しようとした場合、その報告は無効とさせていただきます。

当社のプラットフォームの安全維持にご協力いただき、ありがとうございます。力を合わせて、XposedOrNotを可能な限り最高のものにしていきましょう。
私たちを気にかけてくださり、ありがとうございます。XposedOrNotにバグやセキュリティ脆弱性を発見された場合は、ぜひお知らせください。 deva @ xposedornot.com 宛のメール、または @DevaOnBreaches 宛のツイートで報告いただけます。

メール : deva @ xposedornot.com
Twitter : DevaOnBreaches