Ответственное раскрытие ошибок и уязвимостей

Последнее обновление: 08 марта 2021 г.

Привет, охотники за ошибками! Мы так рады, что вы здесь, чтобы помочь нам обеспечить безопасность и надежность XposeOrNot (XON). Я установил эту Политику ответственного раскрытия информации, чтобы гарантировать, что все ведут себя хорошо, и помогает нам защитить наши услуги, веб-сайт и сеть от любых неприятных ошибок или уязвимостей.

Если вы обнаружите что-то, что требует моего внимания, я ценю ваше сотрудничество в ответственном расследовании и сообщении об этом, чтобы я мог исправить это быстрее, чем летящая пуля. Ваша помощь в обнаружении уязвимостей безопасности помогает нам обеспечить безопасность и сохранность всех наших пользователей.

Рекомендации по отчетности:


Сообщая об ошибке или уязвимости, обязательно укажите следующее:
  1. Четкое описание ошибки или уязвимости с некоторыми доказательствами, такими как снимки экрана или выходные данные. Не стесняйтесь, нам нравится видеть, что вы нашли!
  2. Описание потенциального воздействия уязвимости, чтобы мы знали, с чем имеем дело.
  3. Ваше предпочтительное имя или псевдоним, чтобы мы могли предоставить вам заслуженное признание в нашем Зале славы исследователей безопасности XON.
  4. Точные шаги по воспроизведению проблемы, чтобы мы могли воспроизвести ее со своей стороны.
  5. Видео-доказательство концепции всегда приветствуется, если оно у вас есть.
  6. Любая соответствующая информация о платформах, операционных системах, версиях, IP-адресах или URL-адресах.
  7. Подтверждающие доказательства, такие как регистрация или отслеживание данных, всегда полезны.
  8. Ваша оценка того, насколько уязвимой может быть проблема. Мы не будем вас судить, если это 10 из 10 по шкале эксплуатационной способности.
Спасибо за то, что вы замечательный охотник за ошибками 🙌 и помогаете нам сохранять XposeOrNot (XON) в целости и сохранности!

Действительные материалы


  1. Локальное или удаленное включение файлов
  2. Обход аутентификации
  3. Обход каталога
  4. Несанкционированная/непреднамеренная утечка данных
  5. Удаленное выполнение кода (RCE)
  6. SQL/XXE-инъекция и внедрение команд
  7. Межсайтовый скриптинг (XSS)
  8. Подделка запроса на стороне сервера (SSRF)
  9. Проблемы с неправильной конфигурацией серверов или API
  10. Проблемы, связанные с аутентификацией и авторизацией
  11. Подделка межсайтовых запросов (CSRF)

В области доменов


  1. https://xposedornot.com
  2. https://api.xposeornot.com
  3. https://пароли.xposeornot.com

Использование информации


Мы обещаем сохранять конфиденциальность всей информации о вас и наших услугах. Поэтому, пожалуйста, не рассказывайте никому, кроме нашей команды!

Мы стремимся сделать Интернет более безопасным, и мы ценим исследователей в области безопасности, которые помогают нам в этом. Итак, большое спасибо 🙏 вам за участие в этих усилиях! Ответственно раскрывая любые обнаруженные вами ошибки и уязвимости, вы помогаете нам защитить наших пользователей и их данные.

Политика приемлемого использования


Внимание: это не обычная программа вознаграждений за обнаружение ошибок, в которой мы предлагаем денежные вознаграждения за сообщения об уязвимостях. Мы не сделаны из денег (пока). Однако если вы сообщите нам о чем-то важном, мы, возможно, просто проявим к вам немного любви и признательности в ответ!

Просто соблюдай этику, ладно? Мы ожидаем, что вы будете вести себя как добропорядочный гражданин Интернета и следовать правилам, изложенным в нашей Политике допустимого использования. Но если вы это сделаете, мы с радостью предоставим вам признание на нашей странице Зала славы, которая чем-то похожа на нашу версию Голливудской аллеи славы, но для исследователей безопасности. Так что вперед, покажите свои навыки и помогите нам сделать XposedOrNot более безопасным местом для всех!

Сообщители об ошибках – ожидания


Охотники за ошибками, мы рады, что вы примете участие и поможете нам сделать XposedOrNot более безопасным местом для всех! Прежде чем вы начнете, вот несколько вещей, которые мы ожидаем от вас:

  1. Пожалуйста, не делайте ничего, что могло бы повредить или нарушить работу XposedOrNot или наших пользователей.
  2. Мы отправим вам подтверждение в течение 1–3 дней с момента получения отчета.
  3. Уважайте конфиденциальность наших пользователей и не пытайтесь шпионить за их учетными записями.
  4. Тестируйте только на своих учетных записях и адресах электронной почты.
  5. Если вы обнаружите критическую уязвимость, которая дает вам доступ к нашему веб-серверу или API, остановитесь и позвольте нам взять на себя управление.
  6. Не сообщайте никаких подробностей о проблеме, пока мы не решим ее.
  7. Если вы попытаетесь использовать уязвимость в личных целях, нам придется дисквалифицировать ваше сообщение.

Мы ценим ваше сотрудничество и помощь в обеспечении безопасности нашей платформы. Давайте работать вместе, чтобы сделать XposeOrNot лучшим, чем он может быть!

Рекомендации по отчетности

Спасибо, что заботитесь о нас! Если вы обнаружили ошибку или уязвимость безопасности в XposedOrNot, мы будем рады услышать об этом. Вы можете сообщить об этом по электронной почте:дева @ xposedornot.com или напишите нам в Твиттере@DevaOnBreaches.

Электронная почта: [email protected]
Твиттер:DevaOnBreaches