ابدأ إهداء هدايا ديوالي

Xoxoday برنامج مكافأة الحشرات

في Xoxoday، فإننا ندرك أن حماية بيانات المستهلك تمثل أولوية عالية ومسؤولية بالغة الأهمية تتطلب مراقبة مستمرة. نحن نقدر بشدة جميع أولئك في مجتمع الأمن الذين يساعدوننا في ضمان أمان 100٪ لجميع أنظمتنا في جميع الأوقات.

نعتقد أن الكشف المسؤول عن الثغرات الأمنية يساعدنا في الحفاظ على أقصى درجات الأمان والخصوصية لجميع مستخدمينا ، وندعو الباحثين الأمنيين للإبلاغ عن أي ثغرة أمنية قد يواجهونها في منتجاتنا. أولئك الذين يقدمون أي أخطاء في نطاق برنامجنا ، سيتم مكافأتهم بحرارة على دعمهم وخبرتهم الأمنية.

كيف يعمل

  1. تواصل معنا على سي إس@xoxoday.com رفع تذكرة ، إذا لاحظت أي مشكلة أمنية محتملة أثناء استيفاء جميع المعايير المطلوبة في سياستنا.
  2. سيتم التحقق من صحة المشكلة المبلغ عنها من حيث الخطورة والأصالة من قبل فريق الأمن لدينا في حوالي 90 يوما.
  3. بعد التحقق من الصحة، سيتم اتخاذ خطوات لإصلاح مشكلات الأمان وفقا لسياسات الأمان الخاصة بنا.
  4. سيتم إبلاغ مالك التذكرة بمجرد حل المشكلة.

الاهليه

لكي تكون مؤهلا للحصول على مكافأة، يجب أن تكون المتطلبات التالية تلبيها:

  1. يجب أن تكون أول شخص يبلغ عن ثغرة أمنية Xoxoday.
  2. يجب أن تؤثر المشكلة على أي واحد من التطبيقات المدرجة في نطاقنا المحدد.
  3. يجب أن تقع المشكلة ضمن الأخطاء "تأهيل" المسرودة.
  4. لا يسمح بنشر معلومات الضعف في المجال العام.
  5. يجب الحفاظ على سرية أية معلومات حول مشكلة عدم الحصانة حتى يتم حل المشكلة.
  6. لا توجد سياسات خصوصية تم وضعها بواسطة Xoxoday يجب انتهاكها عند إجراء اختبار الأمان.
  7. يحظر تماما تعديل أو حذف بيانات المستخدم غير المصادق عليها أو تعطيل خوادم الإنتاج أو أي شكل من أشكال التدهور في تجربة المستخدم.

يمكن أن يؤدي انتهاك أي من هذه القواعد إلى عدم الأهلية أو الإزالة من Xoxoday برنامج مكافأة الشوائب

المبادئ التوجيهيه

  1. استخدم القناة المحددة فقط سي إس@xoxoday.com للإبلاغ عن أي ثغرة أمنية.
  2. أثناء رفع التذكرة، تأكد من ذكر وصف الثغرة الأمنية وتأثيرها المحتمل بوضوح.
  3. يجب أيضا تضمين إرشادات مفصلة حول الخطوات التي يجب اتباعها لإعادة إنشاء مشكلة عدم الحصانة.
  4. يجب إرفاق فيديو كامل POC بشكل إلزامي يعرض جميع الخطوات والمعلومات.
  5. وترد أدناه تفاصيل عن نطاق ومعايير التأهيل.

نطاق

  1. الموقع الإلكتروني: Xoxoday دكان
  2. مواقع الويب خارج النطاق: النطاقات الفرعية المرحلية ، أي نطاق فرعي آخر غير متصل ب xoxoday.com

تأهيل نقاط الضعف

أي مسألة تصميم أو تنفيذ تؤثر بشكل كبير على سرية أو سلامة بيانات المستخدم من المرجح أن تكون في نطاق البرنامج. وتشمل الأمثلة الشائعة ما يلي:

  • البرمجة النصية عبر المواقع (XSS)
  • تزوير طلبات عبر المواقع (CSRF)
  • تزوير الطلب من جانب الخادم (SSRF)
  • حقن SQL
  • تنفيذ التعليمات البرمجية عن بعد من جانب الخادم (RCE)
  • هجمات الكيانات الخارجية ل XML (XXE)
  • مشكلات التحكم في الوصول (مشكلات مرجع الكائن المباشر غير الآمنة، تصعيد الامتيازات، إلخ)
  • لوحات إدارية مكشوفة لا تتطلب بيانات اعتماد تسجيل الدخول
  • قضايا اجتياز الدليل
  • الكشف عن الملفات المحلية (LFD) وإدراج الملفات عن بعد (RFI)
  • التلاعب بالمدفوعات
  • أخطاء تنفيذ التعليمات البرمجية من جانب الخادم

نقاط الضعف غير المؤهلة

  • فتح إعادة توجيه: 99٪ من عمليات إعادة التوجيه المفتوحة لها تأثير أمان منخفض. بالنسبة للحالات النادرة التي يكون فيها التأثير أعلى ، على سبيل المثال ، سرقة رموز oauth ، ما زلنا نريد أن نسمع عنها
  • التقارير التي تنص على أن البرنامج قديم / عرضة للخطر دون "إثبات المفهوم"
  • مشكلات رأس المضيف دون POC المصاحبة إظهار عدم الحصانة
  • XSS المشكلات التي تؤثر على المستعرضات القديمة فقط
  • تتبعات المكدس التي تكشف عن المعلومات
  • Clickjacking والقضايا القابلة للاستغلال فقط من خلال clickjacking
  • حقن CSV. يرجى الاطلاع على هذه المقالة: حقن صيغة CSV | غوغل
  • أفضل الممارسات تتعلق
  • تقارير تخمينية للغاية حول الضرر النظري. كن ملموسا
  • XSS الذاتي التي لا يمكن استخدامها لاستغلال المستخدمين الآخرين
  • نقاط الضعف كما ذكرتها الأدوات الآلية دون تحليل إضافي لكيفية أنها مشكلة
  • التقارير الواردة من الماسحات الضوئية التلقائية لضعف الويب (Acunetix، Burp Suite، Vega، إلخ) التي لم يتم التحقق من صحتها
  • هجمات رفض الخدمة
  • هجمات القوة الغاشمة
  • تحميل الملفات المنعكسة (RFD)
  • محاولات الهندسة الفيزيائية أو الاجتماعية (وهذا يشمل هجمات التصيد الاحتيالي ضد Xoxoday الموظفين)
  • مشكلات حقن المحتوى
  • التزوير عبر المواقع (CSRF) مع الحد الأدنى من الآثار الأمنية (Logout CSRF، الخ)
  • سمات الإكمال التلقائي المفقودة
  • إشارات ملفات تعريف الارتباط المفقودة على ملفات تعريف الارتباط غير الحساسة للأمان
  • المشاكل التي تتطلب الوصول الفعلي إلى كمبيوتر الضحية
  • رؤوس الأمان المفقودة التي لا تقدم ثغرة أمنية فورية.
  • قضايا الاحتيال
  • توصيات حول تعزيز الأمان
  • تقارير المسح SSL/TLS (وهذا يعني الإخراج من مواقع مثل مختبرات SSL)
  • لافتة الاستيلاء على القضايا (معرفة ما خادم الويب نستخدمها ، وما إلى ذلك)
  • فتح المنافذ دون POC المصاحبة مما يدل على وجود ثغرة أمنية
  • نقاط الضعف التي تم الكشف عنها مؤخرا. نحن بحاجة إلى الوقت لتصحيح أنظمتنا تماما مثل أي شخص آخر - يرجى إعطائنا أسبوعين قبل الإبلاغ عن هذه الأنواع من القضايا

ثواب

سيتم دفع مكافآت Bug Bounty في شكل بطاقات هدايا شعبية. تعتمد قيمة بطاقة الهدية على شدة وجودة الخطأ على النحو التالي:

شدة الخطأ
قيمة المكافأة
عال
INR 5,000
متوسط
INR 2,500
منخفض
INR 1,000

ملاحظه

سيتم اتخاذ القرار النهائي بشأن أهلية الأخطاء ومكافأتها بواسطة Xoxoday. البرنامج موجود بالكامل وفقا لتقدير الشركة ولديه شرط ليتم إلغاؤه في أي وقت.

وجدت علة؟

تواصل معنا لرفع تذكرة، إذا لاحظت أي مشكلة أمنية محتملة مع استيفاء جميع المعايير المطلوبة في سياستنا.

تقرير

تقديم البهجة مع Xoxoday

عزز أعمالك بأكبر المكافآت والحوافز والبنية التحتية للدفع في العالم. تحدث إلى خبيرنا للبدء.
جدولة عرض توضيحي
بدء الإصدار التجريبي المجاني
شركة
من نحن
الوظائف التي 🚀 نوظفها
الناس والثقافة
الزبائن
برنامج الإحالة
موارد
مدونات
ندوات عبر الإنترنت
الدليل والكتب الإلكترونية
المسرد
بطاقات الهدايا
دعم
Xoxoday للمطورين
استبدال النقاط / الرموز
مركز المساعدة
توثيق
تواصل معنا
كن شريكا لنا
أعلن معنا
كن بائعا
اتصل بنا
جدولة عرض توضيحي
سياسة الخصوصية
أمن
شروط الاستخدام
علة باونتي
© 2024 Giift | جميع الحقوق محفوظة