最后更新时间:2021 年 3 月 8 日
嘿,昆虫猎人!我们很高兴您能帮助我们确保 XposedOrNot (XON) 的安全。我制定了这份负责任的披露政策,以确保每个人都表现良好,并帮助我们保持我们的服务、网站和网络免受任何讨厌的错误或漏洞的影响。
如果您发现一些需要我注意的事情,我感谢您的合作,负责任地调查和报告它,以便我可以比高速子弹更快地解决它。您帮助披露安全漏洞有助于我们保证所有用户的安全。
报告指南:
当您报告错误或漏洞时,请确保包含以下内容:
- 对错误或漏洞的清晰描述,并提供一些证据,例如屏幕截图或输出数据。不要害羞,我们很高兴看到您的发现!
- 对漏洞潜在影响的描述,以便我们知道我们正在处理什么。
- 您首选的姓名或昵称,以便我们在 XON 安全研究员名人堂中给予您应有的认可。
- 重现问题的确切步骤,以便我们可以在我们这边重现它。
- 如果您有概念视频证明,我们将不胜感激。
- 有关平台、操作系统、版本、IP 地址或 URL 的任何相关信息。
- 支持证据(例如记录或跟踪数据)总是有帮助的。
- 您对该问题的可利用性的评估。如果您的可利用性评分为 10 分(满分 10 分),我们不会对您进行评判。
感谢您成为一名出色的 bug 猎人 🙌 并帮助我们保持 XposedOrNot (XON) 的安全!
有效提交
- 本地或远程文件包含
- 身份验证绕过
- 目录遍历
- 未经授权/非故意的数据泄露
- 远程代码执行(RCE)
- SQL/XXE注入和命令注入
- 跨站脚本 (XSS)
- 服务器端请求伪造 (SSRF)
- 服务器或 API 上的错误配置问题
- 身份验证和授权相关问题
- 跨站请求伪造 (CSRF)
在范围域内
- https://xposeornot.com
- https://api.xposedornot.com
- https://passwords.xposedornot.com
信息的用途
我们承诺对有关您和我们服务的所有信息保密。所以请不要向我们团队以外的任何人泄露秘密!
我们致力于让互联网变得更安全,我们感谢帮助我们实现这一目标的安全研究人员。因此,非常感谢🙏您参与这项努力!通过负责任地披露您发现的任何错误或漏洞,您正在帮助我们保护我们的用户及其数据。
可接受的使用政策
请注意 - 这不是典型的错误赏金计划,我们为漏洞提交提供现金奖励。我们还不是由金钱组成的。然而,如果您确实向我们报告了一些重要的事情,我们可能只会向您表达一些爱和感激作为回报!
只要确保遵守道德即可,好吗?我们希望您像互联网上的好公民一样行事,并遵守我们在可接受使用政策中制定的规则。但如果您这样做,我们很乐意在我们的名人堂页面上给予您一些认可 - 这有点像我们版本的好莱坞星光大道,但针对的是安全研究人员。所以,继续吧,展示你的技能,帮助我们让 XposedOrNot 成为一个对每个人来说更安全的地方!
Bug 报告者 - 期望
Bug 猎人,我们很高兴您能加入,帮助我们让 XposedOrNot 成为一个对每个人来说更安全的地方!在开始之前,我们对您的期望如下:
- 请不要做任何会伤害或扰乱 XposedOrNot 或我们的用户的事情。
- 我们将在收到您的报告后 1-3 天内向您发送确认函。
- 尊重我们用户的隐私,不要试图窥探他们的帐户。
- 仅在您自己的帐户和电子邮件地址上进行测试。
- 如果您发现可让您访问我们的网络服务器或 API 的严重漏洞,请停止并让我们接管。
- 在我们解决问题之前,请勿透露有关该问题的任何详细信息。
- 如果您试图利用该漏洞谋取私利,我们将不得不取消您的报告资格。
感谢您的合作,帮助我们确保平台安全。让我们共同努力,让 XposedOrNot 成为最好的!