Xoxoday Program Bug Bounty

Di Xoxoday, kami memahami bahwa perlindungan data konsumen adalah prioritas tinggi dan tanggung jawab yang sangat signifikan yang membutuhkan pemantauan terus-menerus. Kami sangat menghargai semua pihak dalam komunitas keamanan yang membantu kami dalam memastikan keamanan 100% dari semua sistem kami setiap saat.

Kami percaya bahwa pengungkapan kerentanan keamanan yang bertanggung jawab akan membantu kami dalam menjaga keamanan & privasi terbaik dari semua pengguna kami, dan kami mengundang para peneliti keamanan untuk melaporkan kerentanan keamanan apa pun yang mereka temukan dalam produk kami. Mereka yang mengirimkan bug apa pun dalam lingkup program kami, akan dihargai dengan tulus atas dukungan & keahlian keamanan mereka.

Cara kerjanya

  1. Hubungi kami di [email protected] untuk mengajukan tiket, jika Anda melihat adanya potensi masalah keamanan sementara Anda memenuhi semua kriteria yang disyaratkan dalam kebijakan kami.
  2. Validasi masalah yang dilaporkan dalam hal tingkat keparahan dan keaslian akan dilakukan oleh tim keamanan kami dalam waktu sekitar 90 hari.
  3. Pasca validasi, langkah-langkah akan diambil untuk memperbaiki masalah keamanan sesuai dengan kebijakan keamanan kami.
  4. Pemilik tiket akan diberitahu setelah masalah diselesaikan.

Kelayakan

Agar memenuhi syarat untuk mendapatkan hadiah, persyaratan berikut harus dipenuhi oleh Anda:

  1. Anda harus menjadi orang pertama yang melaporkan kerentanan ke Xoxoday.
  2. Masalah ini harus berdampak pada salah satu aplikasi yang tercantum di bawah cakupan yang ditentukan.
  3. Masalahnya harus berada di bawah bug 'Kualifikasi' yang tercantum.
  4. Penerbitan informasi kerentanan dalam domain publik tidak diperbolehkan.
  5. Setiap informasi tentang masalah kerentanan harus dirahasiakan sampai masalah diselesaikan.
  6. Tidak ada kebijakan privasi yang ditetapkan oleh Xoxoday yang boleh dilanggar saat melakukan pengujian keamanan.
  7. Modifikasi atau penghapusan data pengguna yang tidak diautentikasi, gangguan server produksi, atau segala bentuk degradasi terhadap pengalaman pengguna sepenuhnya dilarang.

Pelanggaran terhadap salah satu aturan ini dapat mengakibatkan ketidaklayakan atau penghapusan dari program bug bounty Xoxoday

Pedoman

  1. Gunakan hanya saluran yang teridentifikasi [email protected] untuk melaporkan kerentanan keamanan apa pun.
  2. Saat menaikkan tiket, pastikan deskripsi dan dampak potensial dari kerentanan disebutkan dengan jelas.
  3. Instruksi terperinci tentang langkah-langkah yang harus diikuti untuk mereproduksi kerentanan juga harus disertakan.
  4. POC Video lengkap harus dilampirkan yang menunjukkan semua langkah dan informasi.
  5. Rincian tentang ruang lingkup dan kriteria kualifikasi disebutkan di bawah ini.

Ruang lingkup

  1. Situs web Xoxoday Toko
  2. Situs web di luar cakupan: Subdomain pementasan, subdomain lain yang tidak terhubung ke xoxoday.com

Kerentanan Kualifikasi

Setiap masalah desain atau implementasi yang secara substansial mempengaruhi kerahasiaan atau integritas data pengguna kemungkinan akan berada dalam ruang lingkup untuk program ini. Contoh umum meliputi:

  • Scripting Lintas Situs (XSS)
  • Pemalsuan Permintaan Lintas Tempat (CSRF)
  • Pemalsuan Permintaan Sisi Server (SSRF)
  • Injeksi SQL
  • Eksekusi Kode Jarak Jauh Sisi Server (RCE)
  • Serangan Entitas Eksternal XML (XXE)
  • Masalah Kontrol Akses (Masalah Referensi Objek Langsung Tidak Aman, Eskalasi Hak Istimewa, dll)
  • Panel Administratif yang terbuka yang tidak memerlukan kredensial login
  • Masalah Traversal Direktori
  • Pengungkapan File Lokal (LFD) dan Inklusi File Jarak Jauh (RFI)
  • Manipulasi Pembayaran
  • Bug eksekusi kode sisi server

Kerentanan Non-Kualifikasi

  • Open-Redirects: 99% pengalihan terbuka memiliki dampak keamanan yang rendah. Untuk kasus yang jarang terjadi di mana dampaknya lebih tinggi, misalnya, mencuri token oauth, kami masih ingin mendengar tentang mereka
  • Laporan yang menyatakan bahwa perangkat lunak sudah ketinggalan zaman / rentan tanpa 'Bukti Konsep'
  • Masalah header host tanpa POC yang menyertainya yang menunjukkan kerentanan
  • Masalah XSS yang hanya memengaruhi browser usang
  • Menumpuk jejak yang mengungkapkan informasi
  • Clickjacking dan masalah hanya dapat dieksploitasi melalui clickjacking
  • Injeksi CSV. Silakan lihat artikel ini: Injeksi rumus CSV | Google (dalam bahasa Inggris
  • Masalah praktik terbaik
  • Laporan yang sangat spekulatif tentang kerusakan teoritis. Jadilah konkret
  • Self-XSS yang tidak dapat digunakan untuk mengeksploitasi pengguna lain
  • Kerentanan seperti yang dilaporkan oleh alat otomatis tanpa analisis tambahan tentang bagaimana masalahnya
  • Laporan dari pemindai kerentanan web otomatis (Acunetix, Burp Suite, Vega, dll.) yang belum divalidasi
  • Penolakan Serangan Layanan
  • Serangan Brute Force
  • Unduhan File Yang Dipantulkan (RFD)
  • Upaya rekayasa fisik atau sosial (ini termasuk serangan phishing terhadap karyawan Xoxoday )
  • Masalah injeksi konten
  • Cross-site Request Forgery (CSRF) dengan implikasi keamanan minimal (Logout CSRF, dll.)
  • Atribut pelengkapan otomatis yang hilang
  • Bendera cookie yang hilang pada cookie yang tidak sensitif terhadap keamanan
  • Masalah yang memerlukan akses fisik ke komputer korban
  • Header keamanan yang hilang yang tidak menghadirkan kerentanan keamanan langsung.
  • Masalah Penipuan
  • Rekomendasi tentang peningkatan keamanan
  • Laporan pemindaian SSL/TLS (ini berarti output dari situs seperti SSL Labs)
  • Masalah pengambilan spanduk (mencari tahu server web apa yang kami gunakan, dll.)
  • Buka port tanpa POC yang menyertainya yang menunjukkan kerentanan
  • Kerentanan yang baru-baru ini diungkapkan. Kami perlu waktu untuk menambal sistem kami seperti orang lain - tolong beri kami dua minggu sebelum melaporkan masalah semacam ini

Hadiah

Hadiah Bug Bounty akan dibayarkan dalam bentuk kartu hadiah populer. Nilai kartu hadiah akan tergantung pada tingkat keparahan dan kualitas bug seperti di bawah ini:

Tingkat Keparahan Bug
Nilai Hadiah
Tinggi
INR 5,000
Sedang
INR 2,500
Rendah
INR 1,000

Nota

Keputusan akhir mengenai kelayakan bug dan pemberian hadiah akan dibuat oleh Xoxoday. Program ini sepenuhnya merupakan kebijakan perusahaan dan dapat dibatalkan kapan saja.

Menemukan Bug?

Hubungi kami untuk menaikkan tiket, Jika Anda kebetulan melihat potensi masalah keamanan sementara juga memenuhi semua kriteria yang diperlukan dalam kebijakan kami.

LAPOR