Divulgação responsável de bugs e vulnerabilidades

Última atualização: 26/08/2025

Olá, caçadores de bugs! Ficamos muito felizes por você estar aqui para nos ajudar a manter a XposedOrNot (XON) protegida e segura. Criei esta Política de Divulgação Responsável para garantir que todos colaborem de forma correta e nos ajudem a manter nossos serviços, site e rede livres de quaisquer bugs ou vulnerabilidades incômodos.

Se você encontrar algo que precise da minha atenção, agradeço sua cooperação ao investigá-lo e reportá-lo de forma responsável, para que eu possa corrigi-lo o mais rápido possível. Sua ajuda na divulgação de vulnerabilidades de segurança nos ajuda a manter todos os nossos usuários sãos e salvos.

Diretrizes para o reporte:


Ao reportar um bug ou vulnerabilidade, certifique-se de incluir o seguinte:
  1. Uma descrição clara do bug ou da vulnerabilidade, com algumas evidências, como capturas de tela ou dados de saída. Não seja tímido, adoramos ver o que você encontrou!
  2. Uma descrição do impacto potencial da vulnerabilidade, apenas para sabermos com o que estamos lidando.
  3. Seu nome ou apelido preferido, para que possamos lhe dar o reconhecimento que você merece em nosso XON Security Researcher Hall of Fame.
  4. Os passos exatos para reproduzir o problema, para que possamos replicá-lo do nosso lado.
  5. Uma prova de conceito em vídeo é sempre bem-vinda, se você tiver uma.
  6. Qualquer informação relevante sobre plataformas, sistemas operacionais, versões, endereços IP ou URLs.
  7. Evidências de apoio, como dados de log ou de rastreamento, são sempre úteis.
  8. Sua avaliação de quão explorável o problema pode ser. Não julgaremos você se for um 10 de 10 na escala de explorabilidade.
Obrigado por ser um caçador de bugs incrível 🙌 e por nos ajudar a manter a XposedOrNot (XON) segura e protegida!

Submissões válidas


  1. Inclusão de arquivo local ou remoto (LFI/RFI)
  2. Burla de autenticação
  3. Travessia de diretórios (directory traversal)
  4. Vazamento de dados não autorizado ou não intencional
  5. Execução remota de código (RCE)
  6. Injeção de SQL/XXE e injeção de comandos
  7. Cross-Site Scripting (XSS)
  8. Falsificação de requisição do lado do servidor (SSRF)
  9. Problemas de configuração incorreta em servidores ou API
  10. Problemas relacionados a autenticação e autorização
  11. Falsificação de requisição entre sites (CSRF)

Domínios no escopo


Domínio principal: xposedornot.com

Subdomínios: Todos os subdomínios de xposedornot.com (*.xposedornot.com)


Isso inclui, mas não se limita a: api.xposedornot.com, passwords.xposedornot.com, plus.xposedornot.com e quaisquer subdomínios futuros.


Uso das informações


Prometemos manter confidenciais todas as informações sobre você e sobre nossos serviços. Por isso, não conte nada para ninguém de fora da nossa equipe!

Nosso objetivo é tornar a internet um lugar mais seguro, e valorizamos os pesquisadores de segurança que nos ajudam a alcançar isso. Portanto, um grande obrigado 🙏 a você por fazer parte desse esforço! Ao divulgar de forma responsável quaisquer bugs ou vulnerabilidades que encontrar, você nos ajuda a proteger nossos usuários e seus dados.

Política de Uso Aceitável


Só para deixar claro: este não é o típico programa de bug bounty (recompensa por bugs) em que oferecemos recompensas em dinheiro por submissões de vulnerabilidades. Ainda não nadamos em dinheiro. No entanto, se você nos reportar algo importante, talvez retribuamos com bastante carinho e reconhecimento!

Apenas mantenha tudo dentro da ética, combinado? Esperamos que você se comporte como um bom cidadão da internet e siga as regras que definimos em nossa Política de Uso Aceitável. Se fizer isso, teremos o maior prazer em lhe dar reconhecimento em nossa página Hall of Fame, que é meio que a nossa versão da Calçada da Fama de Hollywood, mas para pesquisadores de segurança. Então vá em frente, mostre suas habilidades e nos ajude a tornar a XposedOrNot um lugar mais seguro para todos!

Quem reporta bugs — expectativas


Caçadores de bugs, estamos animados em ter você a bordo para nos ajudar a tornar a XposedOrNot um lugar mais seguro para todos! Antes de começar, aqui estão algumas coisas que esperamos de você:

  1. Por favor, não faça nada que possa prejudicar ou interromper a XposedOrNot ou nossos usuários.
  2. Enviaremos uma confirmação de recebimento dentro de 1 a 3 dias após receber seu reporte.
  3. Respeite a privacidade dos nossos usuários e não tente bisbilhotar as contas deles.
  4. Teste apenas em suas próprias contas e endereços de e-mail.
  5. Se você encontrar uma vulnerabilidade crítica que lhe dê acesso ao nosso servidor web ou à API, por favor, pare por aí e deixe que assumamos a partir daí.
  6. Não compartilhe nenhum detalhe sobre o problema até que o tenhamos resolvido.
  7. Se você tentar explorar a vulnerabilidade para ganho pessoal, teremos que desqualificar seu reporte.

Agradecemos sua cooperação em nos ajudar a manter nossa plataforma segura. Vamos trabalhar juntos para tornar a XposedOrNot a melhor que ela pode ser!

Diretrizes para reporte

Obrigado por cuidar de nós! Se você descobriu um bug ou uma vulnerabilidade de segurança na XposedOrNot, adoraríamos saber. Você pode reportá-lo por e-mail para deva @ xposedornot.com ou nos enviar um tweet em @DevaOnBreaches.

E-mail : deva @ xposedornot.com
Twitter : DevaOnBreaches

Junte-se a nós para moldar este site totalmente open source! Contribuições são bem-vindas ❤️ em nosso GitHub.

Legal
Política de Privacidade Termos de Uso
Comunidade
Blog Nosso repositório
Confiança
Status Transparência Divulgação Responsável
Siga-nos
Twitter (X) Facebook Mastodon