Ostatnia aktualizacja: 26-08-2025

Cześć, łowcy błędów! Bardzo się cieszymy, że jesteś tu, aby pomóc nam utrzymać XposedOrNot (XON) w bezpieczeństwie. Stworzyłem tę Politykę Odpowiedzialnego Ujawniania, aby wszyscy grali fair i pomagali nam chronić nasze usługi, stronę i sieć przed uciążliwymi błędami i lukami.

Jeśli znajdziesz coś, co wymaga mojej uwagi, docenię Twoją współpracę w odpowiedzialnym zbadaniu i zgłoszeniu problemu, abym mógł go naprawić szybciej niż pędząca kula. Twoja pomoc w ujawnianiu luk bezpieczeństwa pomaga nam chronić wszystkich naszych użytkowników.

Wytyczne dotyczące zgłaszania:


Zgłaszając błąd lub lukę, koniecznie uwzględnij następujące elementy:
  1. Jasny opis błędu lub luki wraz z dowodami, np. zrzutami ekranu lub danymi wyjściowymi. Nie wstydź się, uwielbiamy oglądać Twoje znaleziska!
  2. Opis potencjalnego wpływu luki, abyśmy wiedzieli, z czym mamy do czynienia.
  3. Twoje preferowane imię lub pseudonim, abyśmy mogli przyznać Ci zasłużone uznanie w naszej Galerii Sław Badaczy Bezpieczeństwa XON.
  4. Dokładne kroki odtworzenia problemu, abyśmy mogli go zreprodukować u siebie.
  5. Wideo proof of concept jest zawsze mile widziane, jeśli je masz.
  6. Wszelkie istotne informacje o platformach, systemach operacyjnych, wersjach, adresach IP lub adresach URL.
  7. Dodatkowe dowody, takie jak logi lub dane śledzenia, są zawsze pomocne.
  8. Twoja ocena, jak łatwo problem może zostać wykorzystany. Nie będziemy oceniać, jeśli to 10 na 10 w skali podatności na exploity.
Dzięki, że jesteś świetnym łowcą błędów 🙌 i pomagasz nam dbać o bezpieczeństwo XposedOrNot (XON)!

Ważne zgłoszenia


  1. Lokalne lub zdalne dołączanie plików (LFI/RFI)
  2. Obejście uwierzytelniania
  3. Przechodzenie katalogów (Directory Traversal)
  4. Nieautoryzowany lub niezamierzony wyciek danych
  5. Zdalne wykonanie kodu (RCE)
  6. Wstrzykiwanie SQL/XXE i wstrzykiwanie poleceń
  7. Cross-Site Scripting (XSS)
  8. Server-Side Request Forgery (SSRF)
  9. Błędy konfiguracji serwerów lub API
  10. Problemy związane z uwierzytelnianiem i autoryzacją
  11. Cross-Site Request Forgery (CSRF)

Domeny w zakresie


Domena główna: xposedornot.com

Subdomeny: Wszystkie subdomeny xposedornot.com (*.xposedornot.com)


Obejmuje to między innymi: api.xposedornot.com, passwords.xposedornot.com, plus.xposedornot.com oraz wszelkie przyszłe subdomeny.


Wykorzystanie informacji


Obiecujemy zachować poufność wszystkich informacji o Tobie i naszych usługach. Prosimy więc, nie zdradzaj niczego nikomu spoza naszego zespołu!

Zależy nam, aby internet był bezpieczniejszym miejscem, i doceniamy badaczy bezpieczeństwa, którzy nam w tym pomagają. Wielkie dzięki 🙏 za bycie częścią tego wysiłku! Odpowiedzialnie ujawniając znalezione błędy lub luki, pomagasz nam chronić naszych użytkowników i ich dane.

Polityka Dozwolonego Użycia


Małe zastrzeżenie: to nie jest typowy program bug bounty, w którym oferujemy nagrody pieniężne za zgłoszenia luk. Nie śpimy na pieniądzach (jeszcze). Jeśli jednak zgłosisz nam coś ważnego, możemy odwdzięczyć się odrobiną sympatii i uznania!

Tylko pamiętaj, aby działać etycznie, dobrze? Oczekujemy, że będziesz dobrym obywatelem internetu i będziesz przestrzegać zasad określonych w naszej Polityce Dozwolonego Użycia. Jeśli tak zrobisz, z przyjemnością wyróżnimy Cię na naszej stronie Galerii Sław, czyli czymś w rodzaju naszej wersji Hollywoodzkiej Alei Gwiazd, ale dla badaczy bezpieczeństwa. Śmiało, pokaż swoje umiejętności i pomóż nam uczynić XposedOrNot bezpieczniejszym miejscem dla wszystkich!

Zgłaszający błędy - oczekiwania


Łowcy błędów, cieszymy się, że jesteście z nami i pomagacie uczynić XposedOrNot bezpieczniejszym miejscem dla wszystkich! Zanim zaczniesz, oto kilka rzeczy, których od Ciebie oczekujemy:

  1. Prosimy, nie rób niczego, co zaszkodziłoby XposedOrNot lub naszym użytkownikom albo zakłóciło działanie serwisu.
  2. Wyślemy Ci potwierdzenie w ciągu 1-3 dni od otrzymania zgłoszenia.
  3. Szanuj prywatność naszych użytkowników i nie próbuj myszkować po ich kontach.
  4. Testuj wyłącznie na własnych kontach i adresach e-mail.
  5. Jeśli znajdziesz krytyczną lukę dającą dostęp do naszego serwera WWW lub API, zatrzymaj się w tym miejscu i pozwól nam przejąć sprawę.
  6. Nie udostępniaj żadnych szczegółów problemu, dopóki go nie rozwiążemy.
  7. Jeśli spróbujesz wykorzystać lukę dla osobistych korzyści, będziemy musieli zdyskwalifikować Twoje zgłoszenie.

Doceniamy Twoją współpracę w utrzymaniu bezpieczeństwa naszej platformy. Działajmy razem, aby XposedOrNot było najlepsze, jak to możliwe!
Dziękujemy, że nas pilnujesz! Jeśli odkryjesz błąd lub lukę bezpieczeństwa w XposedOrNot, chętnie o tym usłyszymy. Możesz zgłosić to e-mailem na adres deva @ xposedornot.com lub tweetując do nas @DevaOnBreaches.

E-mail : deva @ xposedornot.com
Twitter : DevaOnBreaches