Programa de recompensas por errores deXoxoday

1. Póngase en contacto con nosotros en cs@xoxoday.com y envíenos un mensaje si detecta un posible problema de seguridad y cumple todos los requisitos de nuestra política.
2. Nuestro equipo de seguridad validará el problema notificado en términos de gravedad y autenticidad en unos 90 días.
3. Tras la validación, se tomarán medidas para solucionar los problemas de seguridad de acuerdo con nuestras políticas de seguridad.
4. El propietario del billete será informado una vez que se haya resuelto el problema.

Para poder optar a una recompensa, debe cumplir los siguientes requisitos:

1. Debes ser la primera persona en informar de una vulnerabilidad a Xoxoday.
2. El problema debe afectar a cualquiera de las aplicaciones enumeradas en nuestro ámbito de aplicación definido.
3. La emisión debe corresponder a los bichos "calificados" de la lista.
4. No se permite la publicación de información sobre vulnerabilidad en el dominio público.
5. Toda la información sobre el problema de vulnerabilidad debe ser confidencial hasta que se resuelva el problema.
6. Al realizar las pruebas de seguridad no se debe violar ninguna de las políticas de privacidad establecidas por Xoxoday.
7. Queda totalmente prohibida la modificación o eliminación de datos de usuarios no autentificados, la interrupción de los servidores de producción o cualquier forma de degradación de la experiencia del usuario.

La violación de cualquiera de estas reglas puede resultar en la inelegibilidad o la eliminación del programa de recompensas por errores de Xoxoday

1. Utilice únicamente el canal identificado cs@xoxoday.com para informar de cualquier vulnerabilidad de seguridad.
2. Al elevar el ticket, asegúrese de que se menciona claramente la descripción y el impacto potencial de la vulnerabilidad.
3. También deben incluirse instrucciones detalladas sobre los pasos a seguir para reproducir la vulnerabilidad.
4. Debe adjuntarse obligatoriamente un video POC completo que muestre todos los pasos e información.
5. A continuación se mencionan los detalles sobre el alcance y los criterios de cualificación.

1. Sitio web: Tienda Xoxoday
2. Sitios web fuera del ámbito de aplicación: subdominios de puesta en escena, cualquier otro subdominio que no esté conectado a xoxoday.com

Cualquier problema de diseño o implementación que afecte sustancialmente a la confidencialidad o integridad de los datos del usuario es probable que esté en el ámbito del programa. Algunos ejemplos comunes son:

• Secuencia de comandos en sitios cruzados (XSS)
• Falsificación de solicitudes en sitios cruzados (CSRF)
• Falsificación de solicitudes del lado del servidor (SSRF)
• Inyección SQL
• Ejecución remota de código del lado del servidor (RCE)
• Ataques a entidades externas XML (XXE)
• Problemas de control de acceso (problemas de referencias directas a objetos inseguros, escalada de privilegios, etc.)
• Paneles administrativos expuestos que no requieren credenciales de acceso
• Problemas de cruce de directorios
• Divulgación local de archivos (LFD) e inclusión remota de archivos (RFI)
• Manipulación de pagos
• Errores de ejecución de código del lado del servidor
  

• Redirecciones abiertas: El 99% de las redirecciones abiertas tienen un bajo impacto en la seguridad. Para los raros casos en los que el impacto es mayor, por ejemplo, el robo de tokens de oauth, todavía queremos oír hablar de ellos
• Informes que afirman que el software está desactualizado/es vulnerable sin una "Prueba de Concepto
• Cuestiones de cabecera del host sin un POC que demuestre la vulnerabilidad
• Problemas de XSS que sólo afectan a los navegadores obsoletos
• Rastros de pila que revelan información
• Clickjacking y problemas que sólo se pueden explotar mediante clickjacking
• Inyección de CSV. Consulte este artículo: Inyección de fórmulas CSV | Google
• Preocupación por las mejores prácticas
• Informes muy especulativos sobre daños teóricos. Sea concreto
• Auto-XSS que no puede ser utilizado para explotar a otros usuarios
• Vulnerabilidades notificadas por herramientas automatizadas sin un análisis adicional sobre su naturaleza.
• Informes de escáneres automáticos de vulnerabilidad web (Acunetix, Burp Suite, Vega, etc.) que no han sido validados
• Ataques de denegación de servicio
• Ataques de fuerza bruta
• Descarga de archivos reflejados (RFD)
• Intentos de ingeniería física o social (esto incluye ataques de phishing contra los empleados de Xoxoday)
• Problemas de inyección de contenidos
• Falsificación de petición en sitios cruzados (CSRF) con mínimas implicaciones de seguridad (CSRF de cierre de sesión, etc.)
• Faltan atributos de autocompletar
• Falta de indicadores de cookies en las cookies no sensibles a la seguridad
• Cuestiones que requieren acceso físico al ordenador de la víctima
• Falta de cabeceras de seguridad que no presentan una vulnerabilidad de seguridad inmediata.
• Cuestiones de fraude
• Recomendaciones sobre la mejora de la seguridad
• Informes de escaneo SSL/TLS (es decir, los resultados de sitios como SSL Labs)
• Cuestiones relacionadas con la captura de banners (averiguar qué servidor web utilizamos, etc.)
• Puertos abiertos sin un POC que demuestre la vulnerabilidad
• Vulnerabilidades reveladas recientemente. Necesitamos tiempo para parchear nuestros sistemas como todo el mundo - por favor, danos dos semanas antes de informar de este tipo de problemas

Las recompensas de las Bug Bounty se pagarán en forma de tarjetas de regalo populares. El valor de la tarjeta regalo dependerá de la gravedad y la calidad del fallo, como se indica a continuación:

La decisión final sobre la elegibilidad de los bichos y su recompensa será tomada por Xoxoday. El programa existe completamente a discreción de la empresa y tiene la disposición de ser cancelado en cualquier momento.