Verantwoorde Openbaarmaking van Bugs & Kwetsbaarheden

Laatst bijgewerkt: 26-Aug-2025

Hé daar, bugzoekers! Wat fijn dat jullie er zijn om XposedOrNot (XON) veilig en beveiligd te houden. Ik heb dit beleid voor verantwoorde openbaarmaking opgesteld zodat iedereen zich netjes gedraagt en ons helpt onze diensten, website en netwerk te beschermen tegen vervelende bugs of kwetsbaarheden.

Als je iets ontdekt dat mijn aandacht vereist, waardeer ik het als je dit verantwoord onderzoekt en rapporteert zodat ik het zo snel mogelijk kan oplossen. Jouw hulp bij het openbaar maken van beveiligingskwetsbaarheden helpt ons al onze gebruikers veilig te houden.

Richtlijnen voor het Rapporteren:


Wanneer je een bug of kwetsbaarheid rapporteert, zorg er dan voor dat je het volgende opneemt:
  1. Een duidelijke beschrijving van de bug of kwetsbaarheid, met enig bewijs zoals schermafbeeldingen of uitvoergegevens. Wees niet verlegen, we horen graag wat je hebt gevonden!
  2. Een beschrijving van de mogelijke impact van de kwetsbaarheid, zodat we weten waarmee we te maken hebben.
  3. Je voorkeursnaam of gebruikersnaam zodat we je de erkenning kunnen geven die je verdient in onze XON Security Researcher Hall of Fame.
  4. Exacte stappen om het probleem te reproduceren zodat we het aan onze kant kunnen repliceren.
  5. Een video proof of concept wordt altijd gewaardeerd als je die hebt.
  6. Alle relevante informatie over platforms, besturingssystemen, versies, IP-adressen of URL's.
  7. Ondersteunend bewijs zoals logging- of traceringsgegevens is altijd nuttig.
  8. Jouw beoordeling van hoe exploiteerbaar het probleem kan zijn. We oordelen niet als het een 10 van de 10 scoort op de exploiteerbaarheidschaal.
Bedankt dat je zo'n geweldige bugzoeker bent 🙌 en ons helpt XposedOrNot (XON) veilig en gezond te houden!

Geldige Inzendingen


  1. Lokale of externe bestandsinsluiting
  2. Authenticatie-omzeiling
  3. Directory Traversal
  4. Ongeautoriseerd/onbedoeld gegevenslek
  5. Externe code-uitvoering (RCE)
  6. SQL/XXE-injectie en opdrachtinjectie
  7. Cross-Site Scripting (XSS)
  8. Server-side request forgery (SSRF)
  9. Configuratieproblemen op servers of API
  10. Problemen gerelateerd aan authenticatie en autorisatie
  11. Cross-site request forgery (CSRF)

Domeinen in Scope


Primair domein: xposedornot.com

Subdomeinen: Alle subdomeinen van xposedornot.com (*.xposedornot.com)


Dit omvat maar is niet beperkt tot: api.xposedornot.com, passwords.xposedornot.com, plus.xposedornot.com en eventuele toekomstige subdomeinen.


Gebruik van informatie


Wij beloven alle informatie over jou en onze diensten vertrouwelijk te behandelen. Deel dit dus niet met iemand buiten ons team!

Wij zijn er alles aan gelegen om het internet een veiligere plek te maken, en we waarderen beveiligingsonderzoekers die ons daarbij helpen. Dus hartelijk dank 🙏 dat je deel uitmaakt van die inspanning! Door kwetsbaarheden die je vindt verantwoord openbaar te maken, help je ons onze gebruikers en hun gegevens te beschermen.

Beleid voor Aanvaardbaar Gebruik


Even ter info: dit is geen typisch bugbountyprogramma waarbij we geldbeloningen aanbieden voor kwetsbaarheidsrapportages. We zitten nog niet op dat niveau. Maar als je ons iets belangrijks meldt, kunnen we je zeker enige waardering en erkenning tonen!

Zorg er wel voor dat je ethisch te werk gaat, oké? Wij verwachten dat je je als een goed burger van het internet gedraagt en de regels volgt die we in ons Beleid voor Aanvaardbaar Gebruik hebben vastgelegd. Als je dat doet, geven we je met plezier erkenning op onze Hall of Fame-pagina — wat een beetje onze versie is van de Hollywood Walk of Fame, maar dan voor beveiligingsonderzoekers. Dus ga je gang, laat je vaardigheden zien en help ons XposedOrNot een veiligere plek voor iedereen te maken!

Bugmelders - Verwachtingen


Bugzoekers, we zijn blij dat jullie aan boord zijn om XposedOrNot een veiligere plek voor iedereen te maken! Voordat je begint, zijn dit een aantal dingen die wij van je verwachten:

  1. Doe niets wat XposedOrNot of onze gebruikers zou kunnen schaden of verstoren.
  2. We sturen je een ontvangstbevestiging binnen 1-3 dagen na ontvangst van je melding.
  3. Respecteer de privacy van onze gebruikers en probeer niet in hun accounts te snuffelen.
  4. Test alleen op je eigen accounts en e-mailadressen.
  5. Als je een kritieke kwetsbaarheid vindt die je toegang geeft tot onze webserver of API, stop dan daar en laat ons het overnemen.
  6. Deel geen details over het probleem totdat we het hebben opgelost.
  7. Als je de kwetsbaarheid probeert te misbruiken voor persoonlijk gewin, moeten we je melding diskwalificeren.

We waarderen je medewerking bij het veilig houden van ons platform. Laten we samenwerken om XposedOrNot het beste te maken wat het kan zijn!

Richtlijnen voor Rapportage

Bedankt dat je voor ons uitkijkt! Als je een bug of beveiligingskwetsbaarheid in XposedOrNot hebt ontdekt, horen we er graag over. Je kunt dit melden via e-mail op deva @ xposedornot.com of tweet naar ons @DevaOnBreaches.

E-mail : deva @ xposedornot.com
Twitter : DevaOnBreaches

Help mee aan deze volledig open source site! Bijdragen welkom ❤️ op onze GitHub.

Juridisch
Privacybeleid Gebruiksvoorwaarden
Community
Blog Onze Repository
Vertrouwen
Status Transparantie Verantwoorde Openbaarmaking
Volg Ons
Twitter (X) Facebook Mastodon