Xoxoday Bug Bounty Program

1. Hubungi kami di [email protected] untuk menaikkan tiket, jika anda menyedari sebarang isu keselamatan yang berpotensi sambil memenuhi semua kriteria yang diperlukan dalam dasar kami.
2. Pengesahan isu yang dilaporkan dari segi keterukan & kesahihan akan dilakukan oleh pasukan keselamatan kami dalam masa 90 hari.
3. Selepas pengesahan, langkah-langkah akan diambil untuk membetulkan isu keselamatan mengikut dasar keselamatan kami.
4. Pemilik tiket akan dimaklumkan sebaik sahaja isu itu diselesaikan.

Untuk layak mendapat ganjaran, syarat-syarat berikut mesti dipenuhi oleh anda:

1. Anda mesti menjadi orang pertama yang melaporkan kerentanan kepada Xoxoday.
2. Isu ini mesti memberi kesan kepada mana-mana aplikasi yang disenaraikan di bawah skop kami yang ditentukan.
3. Isu ini mesti berada di bawah pepijat 'Kelayakan' yang disenaraikan.
4. Penerbitan maklumat kerentanan dalam domain awam tidak dibenarkan.
5. Sebarang maklumat mengenai isu kerentanan mesti dirahsiakan sehingga isu itu diselesaikan.
6. Tiada dasar privasi yang ditetapkan oleh Xoxoday mesti dilanggar semasa melakukan ujian keselamatan.
7. Pengubahsuaian atau pemadaman data pengguna yang tidak disahkan, gangguan pelayan pengeluaran, atau sebarang bentuk kemerosotan kepada pengalaman pengguna adalah dilarang sama sekali.

Pelanggaran mana-mana peraturan ini boleh mengakibatkan ketidakmampuan atau penyingkiran daripada Xoxoday Program kurniaan pepijat

1. Gunakan saluran yang dikenal pasti sahaja [email protected] melaporkan sebarang kelemahan keselamatan.
2. Semasa menaikkan tiket, pastikan penerangan dan potensi kesan kelemahan disebut dengan jelas.
3. Arahan terperinci mengenai langkah-langkah yang perlu diikuti untuk menghasilkan semula kelemahan juga mesti disertakan.
4. POC Video yang lengkap hendaklah dilampirkan secara mandatori menunjukkan semua langkah dan maklumat.
5. Butiran mengenai skop dan kriteria kelayakan disebutkan di bawah.

1. Laman web: Xoxoday Kedai
2. Laman web di luar skop: Subdomain pementasan, sebarang subdomain lain yang tidak disambungkan ke xoxoday.Com

Sebarang isu reka bentuk atau pelaksanaan yang memberi kesan besar kepada kerahsiaan atau integriti data pengguna mungkin berada dalam skop untuk program ini. Contoh biasa termasuk:

• Skrip silang tapak (XSS)
• Pemalsuan Permintaan Merentas Tapak (CSRF)
• Pemalsuan Permintaan Pihak Pelayan (SSRF)
• Suntikan SQL
• Pelaksanaan Kod Jauh Sisi Pelayan (RCE)
• Serangan Entiti Luaran XML (XXE)
• Isu Kawalan Capaian (Isu Rujukan Objek Langsung Tidak Selamat, Peningkatan Keistimewaan, dsb)
• Panel Pentadbiran terdedah yang tidak memerlukan kelayakan log masuk
• Isu Traversal Direktori
• Pendedahan Fail Tempatan (LFD) dan Kemasukan Fail Jauh (RFI)
• Manipulasi Pembayaran
• Pepijat pelaksanaan kod bahagian pelayan
  

• Open-Redirects: 99% daripada pengalihan terbuka mempunyai kesan keselamatan yang rendah. Untuk kes-kes yang jarang berlaku di mana kesannya lebih tinggi, contohnya, mencuri token oauth, kami masih mahu mendengar tentang mereka
• Laporan yang menyatakan bahawa perisian sudah lapuk/terdedah tanpa 'Bukti Konsep'
• Isu pengepala hos tanpa POC yang disertakan menunjukkan kelemahan
• Isu XSS yang hanya menjejaskan pelayar lapuk
• Tindanan penyurihan yang mendedahkan maklumat
• Clickjacking dan isu hanya boleh dieksploitasi melalui clickjacking
• Suntikan CSV. Sila lihat artikel ini: Suntikan formula CSV | Google
• Kebimbangan amalan terbaik
• Laporan yang sangat spekulatif mengenai kerosakan teori. Jadilah konkrit
• XSS sendiri yang tidak boleh digunakan untuk mengeksploitasi pengguna lain
• Kerentanan seperti yang dilaporkan oleh alat automatik tanpa analisis tambahan tentang cara ia menjadi masalah
• Laporan daripada pengimbas kerentanan web automatik (Acunetix, Burp Suite, Vega, dll.) yang belum disahkan
• Penafian Serangan Perkhidmatan
• Serangan Pasukan Brute
• Muat Turun Fail Tercermin (RFD)
• Percubaan kejuruteraan fizikal atau sosial (ini termasuk serangan pancingan data terhadap Xoxoday pekerja)
• Isu suntikan kandungan
• Pemalsuan Permintaan Merentas Tapak (CSRF) dengan implikasi keselamatan yang minimum (Logout CSRF, dll.)
• Atribut autolengkap yang hilang
• Kuki yang hilang membenderakan kuki yang tidak sensitif keselamatan
• Isu yang memerlukan akses fizikal ke komputer mangsa
• Kehilangan pengepala keselamatan yang tidak menunjukkan kelemahan keselamatan serta-merta.
• Isu Penipuan
• Cadangan tentang peningkatan keselamatan
• Laporan imbasan SSL / TLS (ini bermaksud output dari laman web seperti Makmal SSL)
• Banner merebut isu (memikirkan apa pelayan web yang kami gunakan, dll.)
• Pelabuhan terbuka tanpa POC yang disertakan menunjukkan kelemahan
• Kelemahan yang didedahkan baru-baru ini. Kami memerlukan masa untuk menampal sistem kami seperti orang lain - sila berikan kami dua minggu sebelum melaporkan jenis isu ini

Ganjaran Bug Bounty akan dibayar dalam bentuk kad hadiah popular. Nilai kad hadiah bergantung kepada keterukan dan kualiti pepijat seperti di bawah:

Keputusan muktamad mengenai kelayakan pepijat dan ganjaran akan dibuat oleh Xoxoday. Program ini wujud sepenuhnya mengikut budi bicara firma dan mempunyai peruntukan yang akan dibatalkan pada bila-bila masa.