Xoxoday Programma Bug Bounty

1. Contattateci all'indirizzo [email protected] per inviare un ticket, se notate un potenziale problema di sicurezza pur soddisfacendo tutti i criteri richiesti dalla nostra politica.
2. La convalida del problema segnalato in termini di gravità e autenticità sarà fatta dal nostro team di sicurezza in circa 90 giorni.
3. Dopo la convalida, saranno prese misure per risolvere i problemi di sicurezza in conformità con le nostre politiche di sicurezza.
4. Il proprietario del biglietto sarà informato una volta che il problema sarà risolto.

Per avere diritto a una ricompensa, devi soddisfare i seguenti requisiti:

1. Dovete essere la prima persona a segnalare una vulnerabilità a Xoxoday.
2. Il problema deve avere un impatto su una qualsiasi delle applicazioni elencate nel nostro ambito definito.
3. La questione deve rientrare nei bug "qualificanti" elencati.
4. La pubblicazione di informazioni sulla vulnerabilità nel dominio pubblico non è consentita.
5. Qualsiasi informazione sul problema di vulnerabilità deve essere tenuta riservata fino a quando il problema non è risolto.
6. Durante l'esecuzione dei test di sicurezza non devono essere violate le norme sulla privacy stabilite da Xoxoday .
7. La modifica o la cancellazione dei dati degli utenti non autenticati, l'interruzione dei server di produzione o qualsiasi forma di degradazione dell'esperienza degli utenti è completamente proibita.

La violazione di una qualsiasi di queste regole può comportare l'ineleggibilità o la rimozione dal programma di bug bounty di Xoxoday .

1. Utilizzate solo il canale identificato [email protected] per segnalare qualsiasi vulnerabilità di sicurezza.
2. Mentre sollevate il ticket, assicuratevi che la descrizione e l'impatto potenziale della vulnerabilità siano chiaramente menzionati.
3. Devono anche essere incluse istruzioni dettagliate sui passi da seguire per riprodurre la vulnerabilità.
4. Un Video POC completo dovrebbe essere obbligatoriamente allegato mostrando tutti i passi e le informazioni.
5. I dettagli sullo scopo e sui criteri di qualificazione sono menzionati di seguito.

1. Sito web: Xoxoday Negozio
2. Siti web fuori dal campo di applicazione: sottodomini di staging, qualsiasi altro sottodominio non collegato a xoxoday.com.

Qualsiasi problema di progettazione o implementazione che colpisce sostanzialmente la riservatezza o l'integrità dei dati degli utenti è probabile che sia nell'ambito del programma. Esempi comuni includono:

• Cross-site Scripting (XSS)
• Falsificazione di richieste cross-site (CSRF)
• Falsificazione delle richieste sul lato server (SSRF)
• Iniezione SQL
• Esecuzione di codice remoto (RCE) sul lato server
• XML External Entity Attacks (XXE)
• Problemi di controllo dell'accesso (problemi di riferimento diretto agli oggetti insicuri, escalation dei privilegi, ecc.)
• Pannelli amministrativi esposti che non richiedono credenziali di accesso
• Problemi di attraversamento di directory
• Local File Disclosure (LFD) e Remote File Inclusion (RFI)
• Manipolazione dei pagamenti
• Bug di esecuzione del codice lato server
  

• Open-Redirects: Il 99% dei reindirizzamenti aperti hanno un basso impatto sulla sicurezza. Per i rari casi in cui l'impatto è maggiore, ad esempio, il furto di token oauth, vogliamo comunque sentirne parlare
• Rapporti che affermano che il software è obsoleto/vulnerabile senza una "prova di concetto".
• Problemi di intestazione dell'host senza un POC di accompagnamento che dimostri la vulnerabilità
• Problemi XSS che colpiscono solo i browser obsoleti
• Tracce di stack che rivelano informazioni
• Clickjacking e problemi sfruttabili solo tramite clickjacking
• Iniezione di CSV. Si veda questo articolo: Iniezione di formule CSV | Google
• Preoccupazioni per le migliori pratiche
• Rapporti altamente speculativi su danni teorici. Essere concreti
• Auto-XSS che non può essere usato per sfruttare altri utenti
• Vulnerabilità segnalate da strumenti automatici senza ulteriori analisi su come sono un problema
• Rapporti di scanner automatici di vulnerabilità web (Acunetix, Burp Suite, Vega, ecc.) che non sono stati convalidati
• Attacchi Denial of Service
• Attacchi a forza bruta
• Scaricamento di file riflessi (RFD)
• Tentativi di ingegneria fisica o sociale (sono inclusi gli attacchi di phishing contro i dipendenti di Xoxoday ).
• Problemi di iniezione di contenuto
• Cross-site Request Forgery (CSRF) con implicazioni minime di sicurezza (Logout CSRF, ecc.)
• Attributi di completamento automatico mancanti
• Flag mancanti sui cookie non sensibili alla sicurezza
• Problemi che richiedono l'accesso fisico al computer della vittima
• Intestazioni di sicurezza mancanti che non presentano una vulnerabilità di sicurezza immediata.
• Problemi di frode
• Raccomandazioni sul miglioramento della sicurezza
• Rapporti di scansione SSL/TLS (questo significa output da siti come SSL Labs)
• Problemi di presa del banner (capire quale server web usiamo, ecc.)
• Porte aperte senza un POC di accompagnamento che dimostri la vulnerabilità
• Vulnerabilità rivelate di recente. Abbiamo bisogno di tempo per patchare i nostri sistemi proprio come tutti gli altri - per favore dateci due settimane prima di segnalare questo tipo di problemi

Le ricompense Bug Bounty saranno pagate sotto forma di carte regalo popolari. Il valore della carta regalo dipenderà dalla gravità e dalla qualità del bug come di seguito:

La decisione finale sull'ammissibilità e la ricompensa dei bug sarà presa da Xoxoday. Il programma è completamente a discrezione dell'azienda e può essere annullato in qualsiasi momento.