Последнее обновление: 26 августа 2025 г.

Здравствуйте, охотники за ошибками! Мы очень рады, что вы здесь и готовы помочь нам сохранять XposedOrNot (XON) в безопасности. Я разработал эту Политику ответственного раскрытия, чтобы все действовали добросовестно и помогали нам защищать наши сервисы, сайт и сеть от любых надоедливых ошибок и уязвимостей.

Если вы обнаружите что-то, на что мне стоит обратить внимание, я буду признателен за ответственное расследование и сообщение об этом, чтобы я мог как можно быстрее всё исправить. Ваша помощь в раскрытии уязвимостей безопасности помогает нам обеспечивать защиту всех наших пользователей.

Рекомендации по составлению отчёта:


Сообщая об ошибке или уязвимости, пожалуйста, обязательно укажите следующее:
  1. Чёткое описание ошибки или уязвимости с подтверждениями, например со снимками экрана или выходными данными. Не стесняйтесь — нам интересно увидеть, что вы нашли!
  2. Описание потенциальных последствий уязвимости, чтобы мы понимали, с чем имеем дело.
  3. Предпочитаемое имя или псевдоним, чтобы мы могли отметить ваши заслуги в нашем Зале славы исследователей безопасности XON.
  4. Точные шаги для воспроизведения проблемы, чтобы мы могли повторить её на своей стороне.
  5. Видео с подтверждением концепции (proof of concept) всегда приветствуется, если оно у вас есть.
  6. Любую полезную информацию о платформах, операционных системах, версиях, IP-адресах или URL-адресах.
  7. Вспомогательные данные, такие как журналы или данные трассировки, всегда полезны.
  8. Вашу оценку того, насколько проблема пригодна для эксплуатации. Мы не будем вас осуждать, даже если это 10 из 10 по шкале эксплуатируемости.
Спасибо, что вы замечательный охотник за ошибками 🙌 и помогаете нам сохранять XposedOrNot (XON) в безопасности!

Принимаемые сообщения


  1. Локальное или удалённое подключение файлов (LFI/RFI)
  2. Обход аутентификации
  3. Обход каталогов (Directory Traversal)
  4. Несанкционированная или непреднамеренная утечка данных
  5. Удалённое выполнение кода (RCE)
  6. SQL/XXE-инъекции и инъекции команд
  7. Межсайтовый скриптинг (XSS)
  8. Подделка запросов на стороне сервера (SSRF)
  9. Ошибки конфигурации на серверах или в API
  10. Проблемы, связанные с аутентификацией и авторизацией
  11. Межсайтовая подделка запросов (CSRF)

Домены в области действия


Основной домен: xposedornot.com

Поддомены: все поддомены xposedornot.com (*.xposedornot.com)


Сюда входят, помимо прочего: api.xposedornot.com, passwords.xposedornot.com, plus.xposedornot.com и любые будущие поддомены.


Использование информации


Мы обязуемся сохранять конфиденциальность всей информации о вас и о наших сервисах. Поэтому, пожалуйста, не раскрывайте её никому за пределами нашей команды!

Наша цель — сделать интернет более безопасным местом, и мы ценим исследователей безопасности, которые помогают нам в этом. Поэтому большое спасибо 🙏 за то, что вы вносите свой вклад! Ответственно раскрывая обнаруженные ошибки или уязвимости, вы помогаете нам защищать наших пользователей и их данные.

Политика допустимого использования


Сразу уточним: это не типичная программа вознаграждений за ошибки (bug bounty), в которой мы выплачиваем денежные награды за сообщения об уязвимостях. У нас (пока) нет на это средств. Однако, если вы сообщите нам о чём-то действительно важном, мы можем отблагодарить вас и выразить признательность!

Только, пожалуйста, соблюдайте этические нормы. Мы ожидаем, что вы будете вести себя как добропорядочный участник интернет-сообщества и соблюдать правила, изложенные в нашей Политике допустимого использования. Если вы будете их соблюдать, мы с радостью отметим ваши заслуги на странице Зала славы — это что-то вроде нашей версии голливудской Аллеи славы, но для исследователей безопасности. Дерзайте, покажите своё мастерство и помогите нам сделать XposedOrNot безопаснее для всех!

Ожидания от тех, кто сообщает об ошибках


Охотники за ошибками, мы рады, что вы помогаете нам сделать XposedOrNot безопаснее для всех! Прежде чем вы приступите, вот несколько вещей, которые мы от вас ожидаем:

  1. Пожалуйста, не делайте ничего, что могло бы навредить XposedOrNot или нашим пользователям либо нарушить их работу.
  2. Мы направим вам подтверждение получения в течение 1–3 дней после получения вашего отчёта.
  3. Уважайте конфиденциальность наших пользователей и не пытайтесь получить доступ к их аккаунтам.
  4. Проводите тестирование только на своих аккаунтах и email-адресах.
  5. Если вы обнаружите критическую уязвимость, дающую доступ к нашему веб-серверу или API, пожалуйста, остановитесь на этом и позвольте нам взять дело в свои руки.
  6. Не раскрывайте никаких подробностей о проблеме, пока мы её не устраним.
  7. Если вы попытаетесь использовать уязвимость в личных целях, нам придётся отклонить ваш отчёт.

Мы признательны вам за сотрудничество в обеспечении безопасности нашей платформы. Давайте вместе сделаем XposedOrNot как можно лучше!
Спасибо, что заботитесь о нас! Если вы обнаружили ошибку или уязвимость безопасности в XposedOrNot, мы будем рады узнать об этом. Вы можете сообщить о ней по email на адрес deva @ xposedornot.com или написать нам в Twitter @DevaOnBreaches.

Email: deva @ xposedornot.com
Twitter: DevaOnBreaches