Divulgação responsável de bugs e vulnerabilidades

Última atualização: 08 de março de 2021

Olá, caçadores de insetos! Estamos muito felizes por você estar aqui para nos ajudar a manter o XposedOrNot (XON) seguro e protegido. Eu estabeleci esta Política de Divulgação Responsável para garantir que todos joguem bem e nos ajudem a manter nossos serviços, site e rede protegidos contra quaisquer bugs ou vulnerabilidades incômodas.

Se você encontrar algo que precise da minha atenção, agradeço sua cooperação em investigar e denunciar de forma responsável, para que eu possa consertar o problema mais rápido do que uma bala em alta velocidade. Sua ajuda na divulgação de vulnerabilidades de segurança nos ajuda a manter todos os nossos usuários sãos e salvos.

Diretrizes para relatórios:


Ao relatar um bug ou vulnerabilidade, certifique-se de incluir o seguinte:
  1. Uma descrição clara do bug ou vulnerabilidade, com algumas evidências, como capturas de tela ou dados de saída. Não seja tímido, adoramos ver o que você encontrou!
  2. Uma descrição do impacto potencial da vulnerabilidade, apenas para sabermos com o que estamos lidando.
  3. Seu nome ou endereço preferido para que possamos lhe dar o reconhecimento que você merece em nosso XON Security Researcher Hall of Fame.
  4. Etapas exatas para reproduzir o problema para que possamos replicá-lo do nosso lado.
  5. Uma prova de conceito em vídeo é sempre apreciada, se você tiver uma.
  6. Qualquer informação relevante sobre plataformas, sistemas operacionais, versões, endereços IP ou URLs.
  7. Evidências de apoio, como registro ou rastreamento de dados, são sempre úteis.
  8. Sua avaliação de quão explorável o problema pode ser. Não iremos julgá-lo se for 10 em 10 na escala de explorabilidade.
Obrigado por ser um incrível caçador de bugs 🙌 e nos ajudar a manter o XposedOrNot (XON) são e salvo!

Envios válidos


  1. Inclusão de arquivos locais ou remotos
  2. Ignorar autenticação
  3. Travessia de diretório
  4. Vazamento de dados não autorizado/não intencional
  5. Execução remota de código (RCE)
  6. Injeção SQL/XXE e injeção de comando
  7. Scripting entre sites (XSS)
  8. Falsificação de solicitação no servidor (SSRF)
  9. Problemas de configuração incorreta em servidores ou API
  10. Problemas relacionados à autenticação e autorização
  11. Falsificações de solicitação entre sites (CSRF)

Domínios no escopo


  1. https://xposedornot.com
  2. https://api.xposedornot.com
  3. https://passwords.xposedornot.com

Usos da informação


Prometemos manter todas as informações sobre você e nossos serviços confidenciais. Então, por favor, não conte nada para ninguém fora da nossa equipe!

Nosso objetivo é tornar a Internet um lugar mais seguro e apreciamos os pesquisadores de segurança que nos ajudam a conseguir isso. Então, um grande obrigado 🙏 a você por fazer parte desse esforço! Ao divulgar de forma responsável quaisquer bugs ou vulnerabilidades que encontrar, você está nos ajudando a proteger nossos usuários e seus dados.

Política de Utilização Aceitável


Apenas um aviso: este não é o típico programa de recompensas por bugs, onde oferecemos recompensas em dinheiro por envios de vulnerabilidades. Não somos feitos de dinheiro (ainda). No entanto, se você relatar algo importante para nós, poderemos mostrar-lhe um pouco de amor e apreço em troca!

Apenas certifique-se de manter a ética, ok? Esperamos que você aja como um bom cidadão da Internet e siga as regras estabelecidas em nossa Política de Uso Aceitável. Mas se você fizer isso, teremos prazer em lhe dar algum reconhecimento em nossa página do Hall da Fama – que é como a nossa versão da Calçada da Fama de Hollywood, mas para pesquisadores de segurança. Então vá em frente, mostre suas habilidades e ajude-nos a tornar o XposedOrNot um lugar mais seguro para todos!

Repórteres de Bugs - Expectativas


Caçadores de bugs, estamos entusiasmados por ter vocês conosco para nos ajudar a tornar o XposedOrNot um lugar mais seguro para todos! Antes de começar, aqui estão algumas coisas que esperamos de você:

  1. Por favor, não faça nada que possa prejudicar ou atrapalhar o XposedOrNot ou nossos usuários.
  2. Enviaremos uma confirmação dentro de um a três dias após o recebimento do seu relatório.
  3. Respeite a privacidade dos nossos usuários e não tente bisbilhotar suas contas.
  4. Teste apenas em suas próprias contas e endereços de e-mail.
  5. Se você encontrar uma vulnerabilidade crítica que lhe dê acesso ao nosso servidor web ou API, pare por aí e deixe-nos assumir o controle.
  6. Não compartilhe detalhes sobre o problema até que o resolvamos.
  7. Se você tentar explorar a vulnerabilidade para ganho pessoal, teremos que desqualificar sua denúncia.

Agradecemos sua cooperação em nos ajudar a manter nossa plataforma segura. Vamos trabalhar juntos para tornar o XposedOrNot o melhor possível!

Diretrizes para relatórios

Obrigado por cuidar de nós! Se você descobriu um bug ou vulnerabilidade de segurança no XposedOrNot, adoraríamos saber mais sobre isso. Você pode denunciá-lo por e-mail em[email protected] ou tweet para nós@DevaOnBreaches.

E-mail: [email protected]
Twitter :DevaOnBreaches