最后更新:2025年8月26日
各位漏洞猎手,你们好!非常感谢你们前来协助我们保障
XposedOrNot(XON)的安全。我制定了这份负责任披露政策,以确保大家都遵守规则,
共同帮助我们让服务、网站和网络免受任何讨厌的漏洞或缺陷的侵扰。
如果你发现了需要我关注的问题,感谢你以负责任的方式进行调查和报告,
以便我能够尽快修复。你在披露安全漏洞方面的帮助,
让我们所有的用户都能安然无虞。
报告指南:
在报告漏洞或缺陷时,请务必包含以下内容:
-
对漏洞或缺陷的清晰描述,并附上屏幕截图或输出数据等证据。
不必拘谨,我们很乐意看到你的发现!
-
对该漏洞潜在影响的描述,以便我们了解所面对的问题。
-
你希望使用的姓名或昵称,以便我们能在 XON 安全研究员名人堂中
给予你应得的认可。
-
复现该问题的确切步骤,以便我们在自己这边重现。
-
如果你有概念验证(proof of concept)视频,我们将不胜感激。
-
关于平台、操作系统、版本、IP 地址或 URL 的任何相关信息。
-
日志或追踪数据等佐证信息总是很有帮助。
-
你对该问题可利用程度的评估。即便它在可利用性上是满分十分,
我们也不会因此评判你。
感谢你成为一名出色的漏洞猎手 🙌,并帮助我们保障
XposedOrNot(XON)的安全!
有效的提交内容
- 本地或远程文件包含(LFI/RFI)
- 身份验证绕过
- 目录遍历
- 未经授权/非预期的数据泄露
- 远程代码执行(RCE)
- SQL/XXE 注入及命令注入
- 跨站脚本(XSS)
- 服务器端请求伪造(SSRF)
- 服务器或 API 的配置错误问题
- 身份验证与授权相关问题
- 跨站请求伪造(CSRF)
适用范围内的域名
主域名: xposedornot.com
子域名: xposedornot.com 的所有子域名
(*.xposedornot.com)
包括但不限于:api.xposedornot.com、
passwords.xposedornot.com、plus.xposedornot.com 以及任何未来新增的子域名。
信息的使用
我们承诺对有关你以及我们服务的所有信息予以保密。因此,
请不要向我们团队以外的任何人透露相关信息!
我们致力于让互联网变得更加安全,也十分感激协助我们实现这一目标的安全研究员。
因此,由衷感谢 🙏 你成为这份努力的一部分!通过负责任地披露你所发现的任何漏洞或缺陷,
你正在帮助我们保护用户及其数据。
可接受使用政策
友情提示——这并不是那种为漏洞提交提供现金奖励的典型漏洞赏金(bug bounty)计划。
我们(暂时)还没有那么财大气粗。不过,如果你确实向我们报告了重要问题,
我们或许会以一些关爱与谢意作为回报!
只要记得守住道德底线,好吗?我们期望你做一名优秀的互联网公民,
并遵守我们在可接受使用政策中所列出的规则。只要你做到这一点,
我们将乐于在名人堂页面上给予你认可——它有点像我们为安全研究员打造的
好莱坞星光大道。所以,尽管来一展身手,帮助我们让 XposedOrNot 成为一个
对所有人都更安全的地方吧!
对漏洞报告者的期望
各位漏洞猎手,我们很高兴你加入进来,帮助我们让 XposedOrNot 成为一个
对所有人都更安全的地方!在你开始之前,以下是我们对你的几点期望:
-
请勿做出任何会损害或扰乱 XposedOrNot 或我们用户的行为。
-
在收到你的报告后,我们将在 1 至 3 天内向你发送确认回执。
-
尊重我们用户的隐私,请勿试图窥探他们的账户。
- 请仅在你自己的账户和电子邮件地址上进行测试。
-
如果你发现某个可让你访问我们 Web 服务器或 API 的严重漏洞,
请就此停止,并交由我们接手处理。
-
在我们解决该问题之前,请勿分享有关该问题的任何细节。
-
如果你试图利用该漏洞牟取私利,我们将不得不取消你报告的资格。
感谢你的配合,帮助我们保障平台的安全。让我们携手努力,
将 XposedOrNot 打造得尽善尽美!