Xoxoday Bug Bounty Programm

1. Wenden Sie sich an uns unter [email protected], um ein Ticket zu erstellen, wenn Sie ein potenzielles Sicherheitsproblem bemerken, obwohl Sie alle erforderlichen Kriterien in unserer Richtlinie erfüllen.
2. Die Validierung des gemeldeten Problems in Bezug auf Schwere und Authentizität wird von unserem Sicherheitsteam innerhalb von etwa 90 Tagen durchgeführt.
3. Nach der Validierung werden Schritte unternommen, um die Sicherheitsprobleme in Übereinstimmung mit unseren Sicherheitsrichtlinien zu beheben.
4. Der Besitzer des Tickets wird benachrichtigt, sobald das Problem gelöst ist.

Um für eine Prämie in Frage zu kommen, müssen Sie die folgenden Voraussetzungen erfüllen:

1. Sie müssen die erste Person sein, die eine Sicherheitslücke an Xoxoday meldet.
2. Das Problem muss sich auf eine der Anwendungen auswirken, die in unserem definierten Anwendungsbereich aufgeführt sind.
3. Die Ausgabe muss unter die aufgelisteten "qualifizierten" Fehler fallen.
4. Die Veröffentlichung von Informationen über Schwachstellen in der Öffentlichkeit ist nicht gestattet.
5. Alle Informationen über die Sicherheitslücke müssen vertraulich behandelt werden, bis das Problem behoben ist.
6. Bei der Durchführung von Sicherheitstests dürfen keine von Xoxoday festgelegten Datenschutzrichtlinien verletzt werden.
7. Die Änderung oder Löschung nicht authentifizierter Benutzerdaten, die Unterbrechung von Produktionsservern oder jede Form der Beeinträchtigung der Benutzererfahrung ist absolut verboten.

Ein Verstoß gegen eine dieser Regeln kann zur Untauglichkeit oder zum Ausschluss aus dem Xoxoday Bug Bounty Programm führen.

1. Verwenden Sie nur den angegebenen Kanal [email protected], um Sicherheitslücken zu melden.
2. Achten Sie bei der Meldung darauf, dass die Beschreibung und die potenziellen Auswirkungen der Schwachstelle deutlich genannt werden.
3. Es müssen auch detaillierte Anweisungen zu den Schritten enthalten sein, die zur Reproduktion der Schwachstelle zu befolgen sind.
4. Ein vollständiger Video-POC sollte zwingend beigefügt werden, der alle Schritte und Informationen enthält.
5. Einzelheiten zum Umfang und zu den Qualifikationskriterien sind nachstehend aufgeführt.

1. Website: Xoxoday Laden
2. Out-of-Scope-Websites: Staging-Subdomains, jede andere Subdomain, die nicht mit xoxoday.com verbunden ist

Jedes Design- oder Implementierungsproblem, das die Vertraulichkeit oder Integrität von Benutzerdaten wesentlich beeinträchtigt, fällt wahrscheinlich in den Anwendungsbereich des Programms. Übliche Beispiele sind:

• Cross-Site-Scripting (XSS)
• Cross-Site Request Forgery (CSRF)
• Server-seitige Anforderungsfälschung (SSRF)
• SQL-Einschleusung
• Server-seitige Remote Code Execution (RCE)
• XML External Entity Angriffe (XXE)
• Probleme mit der Zugangskontrolle (unsichere direkte Objektreferenzen, Eskalation von Privilegien usw.)
• Offene Verwaltungsbereiche, für die keine Anmeldedaten erforderlich sind
• Probleme bei der Verzeichnisüberquerung
• Lokale Dateifreigabe (LFD) und entfernte Dateieinbindung (RFI)
• Manipulationen von Zahlungen
• Fehler bei der serverseitigen Codeausführung
  

• Offene Weiterleitungen: 99 % der offenen Weiterleitungen haben nur geringe Sicherheitsauswirkungen. In den seltenen Fällen, in denen die Auswirkungen größer sind, z. B. beim Diebstahl von Oauth-Tokens, möchten wir dennoch davon erfahren
• Berichte, in denen festgestellt wird, dass Software veraltet/anfällig ist, ohne dass ein "Proof of Concept" vorliegt
• Host-Header-Probleme ohne einen begleitenden POC, der die Schwachstelle nachweist
• XSS-Probleme, die nur veraltete Browser betreffen
• Stack Traces, die Informationen offenlegen
• Clickjacking und Probleme, die nur durch Clickjacking ausgenutzt werden können
• CSV-Injektion. Bitte lesen Sie diesen Artikel: CSV-Formel-Injektion | Google
• Bedenken hinsichtlich bewährter Praktiken
• Höchst spekulative Berichte über theoretische Schäden. Konkret sein
• Selbst-XSS, das nicht verwendet werden kann, um andere Benutzer auszunutzen
• Schwachstellen, wie sie von automatischen Tools gemeldet werden, ohne zusätzliche Analyse, inwiefern sie ein Problem darstellen
• Berichte von automatischen Web-Schwachstellen-Scannern (Acunetix, Burp Suite, Vega usw.), die nicht validiert wurden
• Denial-of-Service-Angriffe
• Brute-Force-Angriffe
• Reflektierter Dateidownload (RFD)
• Physische oder Social-Engineering-Versuche (dazu gehören auch Phishing-Angriffe auf Mitarbeiter von Xoxoday )
• Probleme bei der Einspeisung von Inhalten
• Cross-Site Request Forgery (CSRF) mit minimalen Sicherheitsauswirkungen (Logout CSRF, etc.)
• Fehlende Attribute zum automatischen Vervollständigen
• Fehlende Cookie-Flags bei nicht sicherheitsrelevanten Cookies
• Probleme, die einen physischen Zugang zum Computer des Opfers erfordern
• Fehlende Sicherheits-Header, die keine unmittelbare Sicherheitslücke darstellen.
• Betrugsprobleme
• Empfehlungen zur Verbesserung der Sicherheit
• SSL/TLS-Scanberichte (d. h. Ausgaben von Websites wie SSL Labs)
• Probleme mit dem Banner-Grabbing (herausfinden, welchen Webserver wir verwenden, usw.)
• Offene Ports ohne einen begleitenden POC, der die Verwundbarkeit nachweist
• Kürzlich bekannt gewordene Sicherheitslücken. Wir brauchen wie alle anderen auch Zeit, um unsere Systeme zu patchen. Bitte geben Sie uns zwei Wochen Zeit, bevor Sie diese Art von Problemen melden.

Bug Bounty-Belohnungen werden in Form von beliebten Geschenkkarten ausgezahlt. Der Wert des Geschenkgutscheins hängt von der Schwere und Qualität des Fehlers ab (siehe unten):

Die endgültige Entscheidung über die Förderungswürdigkeit und die Belohnung von Wanzen wird von Xoxoday getroffen. Das Programm liegt vollständig im Ermessen des Unternehmens und kann jederzeit abgebrochen werden.