バグと脆弱性の責任ある開示

最終更新日: 2021 年 3 月 8 日

こんにちは、バグハンターの皆さん! XusedOrNot (XON) の安全性を維持するためにご協力いただき、大変嬉しく思います。私は、全員が適切に対応し、当社のサービス、ウェブサイト、ネットワークを厄介なバグや脆弱性から安全に保つために、この責任ある開示ポリシーを設定しました。

私の注意が必要な点を見つけた場合は、スピード違反の銃弾よりも早く修正できるよう、責任を持って調査し、報告していただくようご協力をお願いいたします。セキュリティの脆弱性の公開にご協力いただくことで、すべてのユーザーの安全を確保することができます。

報告のガイドライン:


バグまたは脆弱性を報告する場合は、必ず次の内容を含めてください。
  1. 画面キャプチャや出力データなどの証拠を伴う、バグまたは脆弱性の明確な説明。恥ずかしがらないでください。あなたが見つけたものを楽しみにしています。
  2. 対処している内容を理解するための、脆弱性の潜在的な影響の説明。
  3. XON セキュリティ研究者の殿堂入りにふさわしい評価を与えるために、ご希望の名前またはハンドル名を入力してください。
  4. 弊社側で問題を再現できるように、問題を再現するための正確な手順。
  5. 概念実証のビデオがある場合は、常に役立ちます。
  6. プラットフォーム、オペレーティング システム、バージョン、IP アドレス、または URL に関する関連情報。
  7. データのログ記録や追跡などの裏付けとなる証拠は常に役に立ちます。
  8. 問題が悪用されやすいかどうかについての評価。悪用可能性のスケールで 10 点中 10 点かどうかを判断することはありません。
素晴らしいバグハンターであり、XownedOrNot (XON) を安全かつ健全に保つために協力してくれてありがとう 🙌!

有効な提出物


  1. ローカルまたはリモートのファイルの組み込み
  2. 認証バイパス
  3. ディレクトリトラバーサル
  4. 不正/意図しないデータ漏洩
  5. リモートコード実行 (RCE)
  6. SQL/XXE インジェクションとコマンド インジェクション
  7. クロスサイトスクリプティング (XSS)
  8. サーバー側リクエスト フォージェリ (SSRF)
  9. サーバーまたは API の構成ミスの問題
  10. 認証と認可に関連する問題
  11. クロスサイト リクエスト フォージェリ (CSRF)

スコープ内ドメイン


  1. https://xposornot.com
  2. https://api.xposedornot.com
  3. https://passwords.xposedornot.com

情報の用途


当社は、お客様および当社のサービスに関するすべての情報を機密として保持することをお約束します。ですから、どうか私たちのチーム以外の誰にも豆をこぼさないでください。

私たちはインターネットをより安全な場所にすることに全力を尽くしており、その実現を支援してくれるセキュリティ研究者に感謝しています。ですから、その取り組みに参加していただき、本当にありがとうございます 🙏!発見したバグや脆弱性を責任を持って公開することで、ユーザーとそのデータを保護することができます。

利用規約


注意してください。これは、脆弱性の提出に対して現金の報酬を提供する一般的なバグ報奨金プログラムではありません。私たちは(まだ)お金でできていません。ただし、あなたが私たちに重要なことを報告した場合、私たちはあなたに愛と感謝の気持ちを少しだけ示すかもしれません。

ただ倫理を守るようにしてくださいね?私たちは、お客様がインターネットの善良な市民として行動し、利用規定に定められたルールに従うことを期待しています。しかし、そうしていただければ、私たちの殿堂ページで喜んで表彰させていただきます。これはハリウッドのウォーク オブ フェームの私たちの版のようなものですが、セキュリティ研究者向けです。さあ、あなたのスキルを披露して、XusedOrNot をすべての人にとってより安全な場所にするのにご協力ください。

バグ報告者 - 期待


バグハンターの皆さん、XusedOrNot をすべての人にとってより安全な場所にするために、皆さんのご協力をお待ちしております。始める前に、私たちがあなたに期待していることがいくつかあります。

  1. XusedOrNot またはユーザーを傷つけたり混乱させたりするような行為は行わないでください。
  2. レポートを受け取ってから 1 ~ 3 日以内に確認メールをお送りします。
  3. ユーザーのプライバシーを尊重し、ユーザーのアカウントを覗き見しようとしないでください。
  4. 自分のアカウントと電子メール アドレスでのみテストしてください。
  5. 当社の Web サーバーまたは API へのアクセスを可能にする重大な脆弱性を見つけた場合は、そこで作業を中止し、当社に引き継がせてください。
  6. 問題が解決されるまで、問題の詳細を共有しないでください。
  7. 個人的な利益のためにこの脆弱性を悪用しようとした場合、その報告は不適格となります。

プラットフォームの安全性を維持するため、ご協力に感謝いたします。 XusedOrNot を最高のものにするために一緒に働きましょう!

報告ガイドライン

私たちを気にかけてくれてありがとう! XusedOrNot のバグやセキュリティの脆弱性を発見した場合は、ぜひお知らせください。電子メールで報告できます。デヴァ @ xposornot.com または私たちにツイートしてください@Deva_Breaches。

電子メール: deva @ xposedornot.com
ツイッター :DevaOn違反