Xoxoday Programme de récompense des bugs

1. Contactez-nous à l'adresse [email protected] pour déposer un ticket, si vous remarquez un problème de sécurité potentiel alors que vous remplissez tous les critères requis par notre politique.
2. La validation du problème signalé en termes de gravité et d'authenticité sera effectuée par notre équipe de sécurité dans un délai d'environ 90 jours.
3. Après validation, des mesures seront prises pour résoudre les problèmes de sécurité conformément à nos politiques de sécurité.
4. Le propriétaire du billet sera informé lorsque le problème sera résolu.

Pour avoir droit à une récompense, vous devez remplir les conditions suivantes :

1. Vous devez être la première personne à signaler une vulnérabilité à Xoxoday.
2. Le problème doit avoir un impact sur l'une des applications énumérées dans notre champ d'application défini.
3. Le problème doit relever des bugs "qualifiants" énumérés.
4. La publication d'informations sur la vulnérabilité dans le domaine public n'est pas autorisée.
5. Toute information concernant le problème de vulnérabilité doit rester confidentielle jusqu'à ce que le problème soit résolu.
6. Aucune politique de confidentialité définie par Xoxoday ne doit être violée lors des tests de sécurité.
7. La modification ou la suppression de données d'utilisateurs non authentifiés, la perturbation des serveurs de production ou toute forme de dégradation de l'expérience utilisateur sont totalement interdites.

La violation de l'une de ces règles peut entraîner l'inéligibilité ou le retrait du programme de primes aux victimes de bogues Xoxoday .

1. Utilisez uniquement le canal identifié [email protected] pour signaler toute vulnérabilité en matière de sécurité.
2. Lors de la création du ticket, assurez-vous que la description et l'impact potentiel de la vulnérabilité sont clairement mentionnés.
3. Des instructions détaillées sur les étapes à suivre pour reproduire la vulnérabilité doivent également être incluses.
4. Un POC vidéo complet doit obligatoirement être joint, indiquant toutes les étapes et informations.
5. Les détails concernant le champ d'application et les critères de qualification sont mentionnés ci-dessous.

1. Site web : Xoxoday Boutique
2. Sites web hors du champ d'application : sous-domaines de stadification, tout autre sous-domaine qui n'est pas connecté à xoxoday.com

Tout problème de conception ou de mise en œuvre qui affecte substantiellement la confidentialité ou l'intégrité des données de l'utilisateur est susceptible d'entrer dans le champ d'application du programme. Voici quelques exemples courants :

• Scripting intersite (XSS)
• Falsification de requête intersite (CSRF)
• Falsification de requête côté serveur (SSRF)
• Injection SQL
• Exécution de code à distance côté serveur (RCE)
• Attaques par entités externes XML (XXE)
• Problèmes de contrôle d'accès (problèmes de référence directe à des objets non sécurisés, escalade de privilèges, etc.)
• Des panneaux administratifs exposés qui ne nécessitent pas d'identifiants de connexion.
• Problèmes de traversée de répertoire
• Divulgation locale de fichiers (LFD) et inclusion de fichiers à distance (RFI)
• Manipulation des paiements
• Bugs d'exécution de code côté serveur
  

• Redirections ouvertes : 99% des redirections ouvertes ont un faible impact sur la sécurité. Dans les rares cas où l'impact est plus important, par exemple le vol de jetons oauth, nous voulons quand même en être informés.
• Rapports indiquant que le logiciel est obsolète/vulnérable sans "preuve de concept".
• Problèmes d'en-tête d'hôte sans un POC d'accompagnement démontrant la vulnérabilité
• Problèmes XSS qui n'affectent que les navigateurs obsolètes
• Les traces de pile qui révèlent des informations
• Le clickjacking et les problèmes uniquement exploitables par le clickjacking
• Injection CSV. Veuillez consulter cet article : Injection de formule CSV | Google
• Questions relatives aux meilleures pratiques
• Des rapports hautement spéculatifs sur des dommages théoriques. Soyez concret
• Self-XSS qui ne peut pas être utilisé pour exploiter d'autres utilisateurs
• Vulnérabilités signalées par des outils automatisés sans analyse supplémentaire de la raison pour laquelle elles constituent un problème.
• Rapports de scanners de vulnérabilité web automatisés (Acunetix, Burp Suite, Vega, etc.) qui n'ont pas été validés.
• Attaques par déni de service
• Attaques par force brute
• Téléchargement de fichiers réfléchis (RFD)
• Tentatives d'ingénierie physique ou sociale (y compris les attaques par hameçonnage contre les employés de Xoxoday )
• Problèmes d'injection de contenu
• Falsification de requête intersite (CSRF) avec des implications minimales en matière de sécurité (CSRF de déconnexion, etc.)
• Attributs d'autocomplétion manquants
• Drapeaux de cookies manquants sur les cookies non sensibles à la sécurité
• Les problèmes qui nécessitent un accès physique à l'ordinateur de la victime
• En-têtes de sécurité manquants qui ne présentent pas une vulnérabilité de sécurité immédiate.
• Questions de fraude
• Recommandations sur le renforcement de la sécurité
• Rapports d'analyse SSL/TLS (c'est-à-dire les résultats de sites tels que SSL Labs)
• Questions relatives à la saisie de bannières (déterminer le serveur web que nous utilisons, etc.)
• Ouvrir des ports sans un POC d'accompagnement démontrant la vulnérabilité
• Vulnérabilités récemment divulguées. Comme tout le monde, nous avons besoin de temps pour corriger nos systèmes. Veuillez nous laisser deux semaines avant de signaler ce type de problèmes.

Les récompenses du Bug Bounty seront versées sous la forme de cartes-cadeaux populaires. La valeur de la carte cadeau dépendra de la gravité et de la qualité du bug, comme indiqué ci-dessous :

La décision finale sur l'éligibilité des bogues et la récompense sera prise par Xoxoday. Le programme existe entièrement à la discrétion de l'entreprise et peut être annulé à tout moment.