Xoxoday Bug Bounty Programm

Wir bei Xoxoday sind uns bewusst, dass der Schutz von Verbraucherdaten eine hohe Priorität und eine äußerst wichtige Verantwortung darstellt, die eine ständige Überwachung erfordert. Wir schätzen alle Mitglieder der Sicherheits-Community sehr, die uns dabei helfen, jederzeit eine 100%ige Sicherheit aller unserer Systeme zu gewährleisten.

Wir glauben, dass die verantwortungsvolle Offenlegung von Sicherheitslücken uns dabei hilft, die Sicherheit und den Datenschutz aller unserer Nutzer aufrechtzuerhalten, und wir laden Sicherheitsforscher ein, jede Sicherheitslücke zu melden, die sie in unseren Produkten finden können. Diejenigen, die uns im Rahmen unseres Programms Fehler melden, werden für ihre Unterstützung und ihre Sicherheitsexpertise herzlich belohnt.

Wie es funktioniert

  1. Wenden Sie sich an [email protected], um ein Ticket zu erstellen, wenn Sie ein potenzielles Sicherheitsproblem bemerken, obwohl Sie alle erforderlichen Kriterien in unserer Richtlinie erfüllen.
  2. Die Validierung des gemeldeten Problems in Bezug auf Schwere und Authentizität wird von unserem Sicherheitsteam innerhalb von etwa 90 Tagen durchgeführt.
  3. Nach der Validierung werden Schritte unternommen, um die Sicherheitsprobleme in Übereinstimmung mit unseren Sicherheitsrichtlinien zu beheben.
  4. Der Besitzer des Tickets wird benachrichtigt, sobald das Problem gelöst ist.

Zuschussfähigkeit

Um für eine Prämie in Frage zu kommen, müssen Sie die folgenden Voraussetzungen erfüllen:

  1. Sie müssen die erste Person sein, die eine Sicherheitslücke an Xoxoday meldet.
  2. Das Problem muss sich auf eine der Anwendungen auswirken, die in unserem definierten Anwendungsbereich aufgeführt sind.
  3. Die Ausgabe muss unter die aufgelisteten "qualifizierten" Fehler fallen.
  4. Die Veröffentlichung von Informationen über Schwachstellen in der Öffentlichkeit ist nicht gestattet.
  5. Alle Informationen über die Sicherheitslücke müssen vertraulich behandelt werden, bis das Problem behoben ist.
  6. Bei der Durchführung von Sicherheitstests dürfen keine von Xoxoday festgelegten Datenschutzrichtlinien verletzt werden.
  7. Die Änderung oder Löschung nicht authentifizierter Benutzerdaten, die Unterbrechung von Produktionsservern oder jede Form der Beeinträchtigung der Benutzererfahrung ist absolut verboten.

Ein Verstoß gegen eine dieser Regeln kann zur Untauglichkeit oder zum Ausschluss aus dem Xoxoday Bug Bounty Programm führen

Leitlinien

  1. Verwenden Sie nur den identifizierten Kanal [email protected], um eine Sicherheitslücke zu melden.
  2. Achten Sie bei der Meldung darauf, dass die Beschreibung und die potenziellen Auswirkungen der Schwachstelle deutlich genannt werden.
  3. Es müssen auch detaillierte Anweisungen zu den Schritten enthalten sein, die zur Reproduktion der Schwachstelle zu befolgen sind.
  4. Ein vollständiger Video-POC sollte zwingend beigefügt werden, der alle Schritte und Informationen enthält.
  5. Einzelheiten zum Umfang und zu den Qualifikationskriterien sind nachstehend aufgeführt.

Umfang

  1. Website: Xoxoday Store
  2. Out-of-Scope-Websites: Staging-Subdomains, jede andere Subdomain, die nicht mit xoxoday.com verbunden ist

Qualifizierte Schwachstellen

Jedes Design- oder Implementierungsproblem, das die Vertraulichkeit oder Integrität von Benutzerdaten wesentlich beeinträchtigt, fällt wahrscheinlich in den Anwendungsbereich des Programms. Übliche Beispiele sind:

  • Cross-Site-Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Server-seitige Anforderungsfälschung (SSRF)
  • SQL-Einschleusung
  • Server-seitige Remote Code Execution (RCE)
  • XML External Entity Angriffe (XXE)
  • Probleme mit der Zugangskontrolle (unsichere direkte Objektreferenzen, Eskalation von Privilegien usw.)
  • Offene Verwaltungsbereiche, für die keine Anmeldedaten erforderlich sind
  • Probleme bei der Verzeichnisüberquerung
  • Lokale Dateifreigabe (LFD) und entfernte Dateieinbindung (RFI)
  • Manipulationen von Zahlungen
  • Fehler bei der serverseitigen Codeausführung

Nicht-qualifizierende Schwachstellen

  • Offene Weiterleitungen: 99 % der offenen Weiterleitungen haben nur geringe Sicherheitsauswirkungen. In den seltenen Fällen, in denen die Auswirkungen größer sind, z. B. beim Diebstahl von Oauth-Tokens, möchten wir dennoch davon erfahren
  • Berichte, in denen festgestellt wird, dass Software veraltet/anfällig ist, ohne dass ein "Proof of Concept" vorliegt
  • Host-Header-Probleme ohne einen begleitenden POC, der die Schwachstelle nachweist
  • XSS-Probleme, die nur veraltete Browser betreffen
  • Stack Traces, die Informationen offenlegen
  • Clickjacking und Probleme, die nur durch Clickjacking ausgenutzt werden können
  • CSV-Injektion. Bitte lesen Sie diesen Artikel: CSV-Formel-Injektion | Google
  • Bedenken hinsichtlich bewährter Praktiken
  • Höchst spekulative Berichte über theoretische Schäden. Konkret sein
  • Selbst-XSS, das nicht verwendet werden kann, um andere Benutzer auszunutzen
  • Schwachstellen, wie sie von automatischen Tools gemeldet werden, ohne zusätzliche Analyse, inwiefern sie ein Problem darstellen
  • Berichte von automatischen Web-Schwachstellen-Scannern (Acunetix, Burp Suite, Vega usw.), die nicht validiert wurden
  • Denial-of-Service-Angriffe
  • Brute-Force-Angriffe
  • Reflektierter Dateidownload (RFD)
  • Physische oder Social-Engineering-Versuche (dazu gehören auch Phishing-Angriffe auf Xoxoday-Mitarbeiter)
  • Probleme bei der Einspeisung von Inhalten
  • Cross-Site Request Forgery (CSRF) mit minimalen Sicherheitsauswirkungen (Logout CSRF, etc.)
  • Fehlende Attribute zum automatischen Vervollständigen
  • Fehlende Cookie-Flags bei nicht sicherheitsrelevanten Cookies
  • Probleme, die einen physischen Zugang zum Computer des Opfers erfordern
  • Fehlende Sicherheits-Header, die keine unmittelbare Sicherheitslücke darstellen.
  • Betrugsprobleme
  • Empfehlungen zur Verbesserung der Sicherheit
  • SSL/TLS-Scanberichte (d. h. Ausgaben von Websites wie SSL Labs)
  • Probleme mit dem Banner-Grabbing (herausfinden, welchen Webserver wir verwenden, usw.)
  • Offene Ports ohne einen begleitenden POC, der die Verwundbarkeit nachweist
  • Kürzlich bekannt gewordene Sicherheitslücken. Wir brauchen wie alle anderen auch Zeit, um unsere Systeme zu patchen. Bitte geben Sie uns zwei Wochen Zeit, bevor Sie diese Art von Problemen melden.

Belohnung

Bug Bounty-Belohnungen werden in Form von beliebten Geschenkkarten ausgezahlt. Der Wert des Geschenkgutscheins hängt von der Schwere und Qualität des Fehlers ab (siehe unten):

Schwere des Fehlers
Belohnungswert
Hoch
INR 5,000
Mittel
INR 2,500
Niedrig
INR 1,000

Hinweis

Die endgültige Entscheidung über die Förderungswürdigkeit von Bugs und deren Belohnung wird von Xoxoday getroffen. Das Programm liegt vollständig im Ermessen des Unternehmens und kann jederzeit abgebrochen werden.

Einen Fehler gefunden?

Wenden Sie sich an uns, um ein Ticket zu erstellen, wenn Sie ein potenzielles Sicherheitsproblem bemerken und gleichzeitig alle erforderlichen Kriterien in unserer Richtlinie erfüllen.

BERICHT