Programa ng Bounty ng Xoxoday Bug

1. Abutin sa amin sa [email protected] upang taasan ang isang tiket, kung mangyari sa iyo na mapansin ang anumang mga potensyal na isyu sa seguridad habang nakakatugon sa lahat ng mga kinakailangang pamantayan sa aming patakaran.
2. Ang pagpapatunay ng iniulat na isyu sa mga tuntunin ng kalubhaan & pagiging tunay ay gagawin ng aming koponan ng seguridad sa paligid ng 90 araw.
3. Post validation, gagawin ang mga hakbang upang ayusin ang mga isyu sa seguridad alinsunod sa aming mga patakaran sa seguridad.
4. Ang may ari ng tiket ay ipapaalam sa sandaling malutas ang isyu.

Upang maging karapat dapat para sa isang gantimpala, ang mga sumusunod na kinakailangan ay dapat mong matugunan:

1. Ikaw dapat ang unang tao na mag ulat ng isang kahinaan sa Xoxoday.
2. Ang isyu ay dapat makaapekto sa alinman sa mga application na nakalista sa ilalim ng aming tinukoy na saklaw.
3. Ang isyu ay dapat mahulog sa ilalim ng 'Qualifying' bugs na nakalista.
4. Ang pag publish ng impormasyon ng kahinaan sa pampublikong domain ay hindi pinapayagan.
5. Ang anumang impormasyon tungkol sa isyu ng kahinaan ay dapat panatilihing kumpidensyal hanggang sa malutas ang isyu.
6. Walang mga patakaran sa privacy na itinakda ng Xoxoday na dapat lumabag kapag nagsasagawa ng pagsubok sa seguridad.
7. Ang pagbabago o pagtanggal ng hindi na authenticate na data ng gumagamit, pagkagambala ng mga server ng produksyon, o anumang anyo ng pagkasira sa karanasan ng gumagamit ay ganap na ipinagbabawal.

Ang paglabag sa alinman sa mga patakaran na ito ay maaaring magresulta sa pagiging hindi karapat dapat o pag alis mula sa Xoxoday bug bounty program

1. Gamitin lamang ang natukoy na channel [email protected] upang iulat ang anumang kahinaan sa seguridad.
2. Habang itinataas ang tiket, tiyakin na ang paglalarawan at potensyal na epekto ng kahinaan ay malinaw na nabanggit.
3. Ang detalyadong mga tagubilin sa mga hakbang na dapat sundin upang magparami ng kahinaan ay dapat ding isama.
4. Ang isang kumpletong Video POC ay dapat na mandatorily naka attach na nagpapakita ng lahat ng mga hakbang at impormasyon.
5. Ang mga detalye tungkol sa saklaw at pamantayan ng kwalipikasyon ay nabanggit sa ibaba.

1. Website: Tindahan ng Xoxoday
2. Mga website sa labas ng Saklaw: Staging subdomain, anumang iba pang subdomain na kung saan ay hindi konektado sa xoxoday.com

Ang anumang isyu sa disenyo o pagpapatupad na malaki ang nakakaapekto sa pagiging kompidensyal o integridad ng data ng gumagamit ay malamang na nasa saklaw para sa programa. Kabilang sa mga karaniwang halimbawa ang:

• Cross-site Scripting (XSS)
• Pantawid na Paghingi ng Kahilingan (CSRF)
• Forgery ng Kahilingan sa Server-Side (SSRF)
• SQL iniksyon
• Server-Side Remote Code Execution (RCE)
• Mga Pag atake ng XML External Entity (XXE)
• Mga Isyu sa Pagkontrol ng Access (Mga Isyu sa Sanggunian sa Insecure na Direktang Object, Pagpapalago ng Pribelihiyo, atbp)
• Mga nakalantad na Administrative Panel na hindi nangangailangan ng mga kredensyal sa pag login
• Mga Isyu sa Traversal ng Direktoryo
• Pagsisiwalat ng Lokal na File (LFD) at Remote File Inclusion (RFI)
• Pagmamanipula ng mga Pagbabayad
• Mga bug sa pagpapatupad ng code sa gilid ng server
  

• Mga Bukas na Pag redirect: 99% ng mga bukas na redirect ay may mababang epekto sa seguridad. Para sa mga bihirang kaso kung saan ang epekto ay mas mataas, halimbawa, pagnanakaw ng mga token ng oauth, nais pa rin naming marinig ang tungkol sa mga ito
• Mga ulat na nagsasaad na ang software ay hindi napapanahon / mahina nang walang isang 'Proof of Concept'
• Mga isyu sa header ng host nang walang kasamang POC na nagpapakita ng kahinaan
• Mga isyu sa XSS na nakakaapekto lamang sa mga lipas na browser
• Stack traces na nagbubunyag ng impormasyon
• Clickjacking at mga isyu lamang mapagsamantala sa pamamagitan ng clickjacking
• CSV iniksyon. Mangyaring tingnan ang artikulong ito: CSV formula iniksyon | Google
• Mga alalahanin sa pinakamahusay na kasanayan
• Mataas na haka haka ulat tungkol sa teoretikal na pinsala. Maging kongkreto
• Self-XSS na hindi maaaring gamitin upang samantalahin ang iba pang mga gumagamit
• Mga kahinaan tulad ng iniulat ng mga awtomatikong tool nang walang karagdagang pagsusuri kung paano sila isang isyu
• Mga ulat mula sa mga awtomatikong scanner ng kahinaan sa web (Acunetix, Burp Suite, Vega, atbp) na hindi pa na validate
• Mga Pag atake ng Pagtanggi sa Serbisyo
• Mga Pag atake ng Brute Force
• Reflected File Download (RFD)
• Mga pagtatangka sa pisikal o panlipunang engineering (kabilang dito ang mga pag atake ng phishing laban sa mga empleyado ng Xoxoday)
• Mga isyu sa iniksyon ng nilalaman
• Cross site Request Forgery (CSRF) na may minimal na implikasyon sa seguridad (Logout CSRF, atbp.)
• Nawawalang mga katangian ng autocomplete
• Nawawalang mga flag ng cookie sa mga cookies na hindi sensitibo sa seguridad
• Mga isyu na nangangailangan ng pisikal na pag access sa computer ng isang biktima
• Nawawalang mga header ng seguridad na hindi nagpapakita ng isang agarang kahinaan sa seguridad.
• Mga Isyu sa Pandaraya
• Mga rekomendasyon tungkol sa pagpapahusay ng seguridad
• SSL / TLS scan ulat (ito ay nangangahulugan ng output mula sa mga site tulad ng SSL Labs)
• Mga isyu sa pag agaw ng banner (pag alam kung anong web server ang ginagamit namin, atbp.)
• Buksan ang mga port nang walang kasamang POC na nagpapakita ng kahinaan
• Kamakailan lamang na ibinunyag ang mga kahinaan. Kailangan namin ng oras para mag-patch ng aming mga system tulad ng iba – mangyaring bigyan kami ng dalawang linggo bago ireport ang mga ganitong uri ng isyu

Ang mga gantimpala sa Bug Bounty ay babayaran sa anyo ng mga sikat na gift card. Ang halaga ng gift card ay depende sa kalubhaan at kalidad ng bug tulad ng sa ibaba:

Ang pangwakas na desisyon sa pagiging karapat dapat at rewarding ng bug ay gagawin ng Xoxoday. Ang programa ay umiiral nang ganap sa paghuhusga ng firm at may probisyon na kanselahin sa anumang oras.