最后更新:2025年8月26日

各位漏洞猎手,你们好!非常感谢你们前来协助我们保障 XposedOrNot(XON)的安全。我制定了这份负责任披露政策,以确保大家都遵守规则, 共同帮助我们让服务、网站和网络免受任何讨厌的漏洞或缺陷的侵扰。

如果你发现了需要我关注的问题,感谢你以负责任的方式进行调查和报告, 以便我能够尽快修复。你在披露安全漏洞方面的帮助, 让我们所有的用户都能安然无虞。

报告指南:


在报告漏洞或缺陷时,请务必包含以下内容:
  1. 对漏洞或缺陷的清晰描述,并附上屏幕截图或输出数据等证据。 不必拘谨,我们很乐意看到你的发现!
  2. 对该漏洞潜在影响的描述,以便我们了解所面对的问题。
  3. 你希望使用的姓名或昵称,以便我们能在 XON 安全研究员名人堂中 给予你应得的认可。
  4. 复现该问题的确切步骤,以便我们在自己这边重现。
  5. 如果你有概念验证(proof of concept)视频,我们将不胜感激。
  6. 关于平台、操作系统、版本、IP 地址或 URL 的任何相关信息。
  7. 日志或追踪数据等佐证信息总是很有帮助。
  8. 你对该问题可利用程度的评估。即便它在可利用性上是满分十分, 我们也不会因此评判你。
感谢你成为一名出色的漏洞猎手 🙌,并帮助我们保障 XposedOrNot(XON)的安全!

有效的提交内容


  1. 本地或远程文件包含(LFI/RFI)
  2. 身份验证绕过
  3. 目录遍历
  4. 未经授权/非预期的数据泄露
  5. 远程代码执行(RCE)
  6. SQL/XXE 注入及命令注入
  7. 跨站脚本(XSS)
  8. 服务器端请求伪造(SSRF)
  9. 服务器或 API 的配置错误问题
  10. 身份验证与授权相关问题
  11. 跨站请求伪造(CSRF)

适用范围内的域名


主域名: xposedornot.com

子域名: xposedornot.com 的所有子域名 (*.xposedornot.com)


包括但不限于:api.xposedornot.com、 passwords.xposedornot.com、plus.xposedornot.com 以及任何未来新增的子域名。


信息的使用


我们承诺对有关你以及我们服务的所有信息予以保密。因此, 请不要向我们团队以外的任何人透露相关信息!

我们致力于让互联网变得更加安全,也十分感激协助我们实现这一目标的安全研究员。 因此,由衷感谢 🙏 你成为这份努力的一部分!通过负责任地披露你所发现的任何漏洞或缺陷, 你正在帮助我们保护用户及其数据。

可接受使用政策


友情提示——这并不是那种为漏洞提交提供现金奖励的典型漏洞赏金(bug bounty)计划。 我们(暂时)还没有那么财大气粗。不过,如果你确实向我们报告了重要问题, 我们或许会以一些关爱与谢意作为回报!

只要记得守住道德底线,好吗?我们期望你做一名优秀的互联网公民, 并遵守我们在可接受使用政策中所列出的规则。只要你做到这一点, 我们将乐于在名人堂页面上给予你认可——它有点像我们为安全研究员打造的 好莱坞星光大道。所以,尽管来一展身手,帮助我们让 XposedOrNot 成为一个 对所有人都更安全的地方吧!

对漏洞报告者的期望


各位漏洞猎手,我们很高兴你加入进来,帮助我们让 XposedOrNot 成为一个 对所有人都更安全的地方!在你开始之前,以下是我们对你的几点期望:

  1. 请勿做出任何会损害或扰乱 XposedOrNot 或我们用户的行为。
  2. 在收到你的报告后,我们将在 1 至 3 天内向你发送确认回执。
  3. 尊重我们用户的隐私,请勿试图窥探他们的账户。
  4. 请仅在你自己的账户和电子邮件地址上进行测试。
  5. 如果你发现某个可让你访问我们 Web 服务器或 API 的严重漏洞, 请就此停止,并交由我们接手处理。
  6. 在我们解决该问题之前,请勿分享有关该问题的任何细节。
  7. 如果你试图利用该漏洞牟取私利,我们将不得不取消你报告的资格。

感谢你的配合,帮助我们保障平台的安全。让我们携手努力, 将 XposedOrNot 打造得尽善尽美!
感谢你为我们留心!如果你在 XposedOrNot 中发现了漏洞或 安全缺陷,我们很乐意听到你的报告。 你可以通过电子邮件 deva @ xposedornot.com 报告,或在推特上联系我们 @DevaOnBreaches

电子邮件 :deva @ xposedornot.com
Twitter : DevaOnBreaches