Ostatnia aktualizacja: 26-08-2025
Cześć, łowcy błędów! Bardzo się cieszymy, że jesteś tu,
aby pomóc nam utrzymać XposedOrNot (XON) w bezpieczeństwie.
Stworzyłem tę Politykę Odpowiedzialnego Ujawniania, aby wszyscy
grali fair i pomagali nam chronić nasze usługi, stronę i sieć
przed uciążliwymi błędami i lukami.
Jeśli znajdziesz coś, co wymaga mojej uwagi, docenię Twoją
współpracę w odpowiedzialnym zbadaniu i zgłoszeniu problemu,
abym mógł go naprawić szybciej niż pędząca kula. Twoja pomoc w
ujawnianiu luk bezpieczeństwa pomaga nam chronić wszystkich
naszych użytkowników.
Wytyczne dotyczące zgłaszania:
Zgłaszając błąd lub lukę, koniecznie uwzględnij następujące
elementy:
-
Jasny opis błędu lub luki wraz z dowodami, np. zrzutami
ekranu lub danymi wyjściowymi. Nie wstydź się, uwielbiamy
oglądać Twoje znaleziska!
-
Opis potencjalnego wpływu luki, abyśmy wiedzieli, z czym
mamy do czynienia.
-
Twoje preferowane imię lub pseudonim, abyśmy mogli przyznać
Ci zasłużone uznanie w naszej Galerii Sław Badaczy
Bezpieczeństwa XON.
-
Dokładne kroki odtworzenia problemu, abyśmy mogli go
zreprodukować u siebie.
-
Wideo proof of concept jest zawsze mile widziane, jeśli je
masz.
-
Wszelkie istotne informacje o platformach, systemach
operacyjnych, wersjach, adresach IP lub adresach URL.
-
Dodatkowe dowody, takie jak logi lub dane śledzenia, są
zawsze pomocne.
-
Twoja ocena, jak łatwo problem może zostać wykorzystany. Nie
będziemy oceniać, jeśli to 10 na 10 w skali podatności na
exploity.
Dzięki, że jesteś świetnym łowcą błędów 🙌 i pomagasz nam dbać o
bezpieczeństwo XposedOrNot (XON)!
Ważne zgłoszenia
- Lokalne lub zdalne dołączanie plików (LFI/RFI)
- Obejście uwierzytelniania
- Przechodzenie katalogów (Directory Traversal)
- Nieautoryzowany lub niezamierzony wyciek danych
- Zdalne wykonanie kodu (RCE)
- Wstrzykiwanie SQL/XXE i wstrzykiwanie poleceń
- Cross-Site Scripting (XSS)
- Server-Side Request Forgery (SSRF)
- Błędy konfiguracji serwerów lub API
- Problemy związane z uwierzytelnianiem i autoryzacją
- Cross-Site Request Forgery (CSRF)
Domeny w zakresie
Domena główna: xposedornot.com
Subdomeny: Wszystkie subdomeny xposedornot.com
(*.xposedornot.com)
Obejmuje to między innymi: api.xposedornot.com,
passwords.xposedornot.com, plus.xposedornot.com oraz
wszelkie przyszłe subdomeny.
Wykorzystanie informacji
Obiecujemy zachować poufność wszystkich informacji o Tobie i
naszych usługach. Prosimy więc, nie zdradzaj niczego nikomu
spoza naszego zespołu!
Zależy nam, aby internet był bezpieczniejszym miejscem, i
doceniamy badaczy bezpieczeństwa, którzy nam w tym pomagają.
Wielkie dzięki 🙏 za bycie częścią tego wysiłku! Odpowiedzialnie
ujawniając znalezione błędy lub luki, pomagasz nam chronić
naszych użytkowników i ich dane.
Polityka Dozwolonego Użycia
Małe zastrzeżenie: to nie jest typowy program bug bounty, w
którym oferujemy nagrody pieniężne za zgłoszenia luk. Nie śpimy
na pieniądzach (jeszcze). Jeśli jednak zgłosisz nam coś ważnego,
możemy odwdzięczyć się odrobiną sympatii i uznania!
Tylko pamiętaj, aby działać etycznie, dobrze? Oczekujemy, że
będziesz dobrym obywatelem internetu i będziesz przestrzegać
zasad określonych w naszej Polityce Dozwolonego Użycia. Jeśli
tak zrobisz, z przyjemnością wyróżnimy Cię na naszej stronie
Galerii Sław, czyli czymś w rodzaju naszej wersji Hollywoodzkiej
Alei Gwiazd, ale dla badaczy bezpieczeństwa. Śmiało, pokaż swoje
umiejętności i pomóż nam uczynić XposedOrNot bezpieczniejszym
miejscem dla wszystkich!
Zgłaszający błędy - oczekiwania
Łowcy błędów, cieszymy się, że jesteście z nami i pomagacie
uczynić XposedOrNot bezpieczniejszym miejscem dla wszystkich!
Zanim zaczniesz, oto kilka rzeczy, których od Ciebie oczekujemy:
-
Prosimy, nie rób niczego, co zaszkodziłoby XposedOrNot lub
naszym użytkownikom albo zakłóciło działanie serwisu.
-
Wyślemy Ci potwierdzenie w ciągu 1-3 dni od otrzymania
zgłoszenia.
-
Szanuj prywatność naszych użytkowników i nie próbuj
myszkować po ich kontach.
- Testuj wyłącznie na własnych kontach i adresach e-mail.
-
Jeśli znajdziesz krytyczną lukę dającą dostęp do naszego
serwera WWW lub API, zatrzymaj się w tym miejscu i pozwól
nam przejąć sprawę.
-
Nie udostępniaj żadnych szczegółów problemu, dopóki go nie
rozwiążemy.
-
Jeśli spróbujesz wykorzystać lukę dla osobistych korzyści,
będziemy musieli zdyskwalifikować Twoje zgłoszenie.
Doceniamy Twoją współpracę w utrzymaniu bezpieczeństwa naszej
platformy. Działajmy razem, aby XposedOrNot było najlepsze, jak
to możliwe!