Xoxoday Programma Bug Bounty

Noi di Xoxoday siamo consapevoli che la protezione dei dati dei consumatori è una priorità assoluta e una responsabilità estremamente importante che richiede un monitoraggio costante. Apprezziamo profondamente tutti coloro che fanno parte della comunità della sicurezza e che ci aiutano a garantire sempre il 100% di sicurezza di tutti i nostri sistemi.

Crediamo che la divulgazione responsabile delle vulnerabilità di sicurezza ci aiuti a mantenere la massima sicurezza e privacy di tutti i nostri utenti e invitiamo i ricercatori di sicurezza a segnalare qualsiasi vulnerabilità di sicurezza in cui possano imbattersi nei nostri prodotti. Coloro che segnalano bug nell'ambito del nostro programma saranno ricompensati per il loro supporto e la loro esperienza in materia di sicurezza.

Come funziona

  1. Contattateci all'indirizzo [email protected] per inviare un ticket, se notate un potenziale problema di sicurezza pur soddisfacendo tutti i criteri richiesti dalla nostra politica.
  2. La convalida del problema segnalato in termini di gravità e autenticità sarà fatta dal nostro team di sicurezza in circa 90 giorni.
  3. Dopo la convalida, saranno prese misure per risolvere i problemi di sicurezza in conformità con le nostre politiche di sicurezza.
  4. Il proprietario del biglietto sarà informato una volta che il problema sarà risolto.

Ammissibilità

Per avere diritto a una ricompensa, devi soddisfare i seguenti requisiti:

  1. Dovete essere la prima persona a segnalare una vulnerabilità a Xoxoday.
  2. Il problema deve avere un impatto su una qualsiasi delle applicazioni elencate nel nostro ambito definito.
  3. La questione deve rientrare nei bug "qualificanti" elencati.
  4. La pubblicazione di informazioni sulla vulnerabilità nel dominio pubblico non è consentita.
  5. Qualsiasi informazione sul problema di vulnerabilità deve essere tenuta riservata fino a quando il problema non è risolto.
  6. Durante l'esecuzione dei test di sicurezza non devono essere violate le norme sulla privacy stabilite da Xoxoday .
  7. La modifica o la cancellazione dei dati degli utenti non autenticati, l'interruzione dei server di produzione o qualsiasi forma di degradazione dell'esperienza degli utenti è completamente proibita.

La violazione di una qualsiasi di queste regole può comportare l'ineleggibilità o la rimozione dal programma di bug bounty di Xoxoday .

Linee guida

  1. Utilizzate solo il canale identificato [email protected] per segnalare qualsiasi vulnerabilità di sicurezza.
  2. Mentre sollevate il ticket, assicuratevi che la descrizione e l'impatto potenziale della vulnerabilità siano chiaramente menzionati.
  3. Devono anche essere incluse istruzioni dettagliate sui passi da seguire per riprodurre la vulnerabilità.
  4. Un Video POC completo dovrebbe essere obbligatoriamente allegato mostrando tutti i passi e le informazioni.
  5. I dettagli sullo scopo e sui criteri di qualificazione sono menzionati di seguito.

Portata

  1. Sito web: Xoxoday Negozio
  2. Siti web fuori dal campo di applicazione: sottodomini di staging, qualsiasi altro sottodominio non collegato a xoxoday.com.

Vulnerabilità qualificanti

Qualsiasi problema di progettazione o implementazione che colpisce sostanzialmente la riservatezza o l'integrità dei dati degli utenti è probabile che sia nell'ambito del programma. Esempi comuni includono:

  • Cross-site Scripting (XSS)
  • Falsificazione di richieste cross-site (CSRF)
  • Falsificazione delle richieste sul lato server (SSRF)
  • Iniezione SQL
  • Esecuzione di codice remoto (RCE) sul lato server
  • XML External Entity Attacks (XXE)
  • Problemi di controllo dell'accesso (problemi di riferimento diretto agli oggetti insicuri, escalation dei privilegi, ecc.)
  • Pannelli amministrativi esposti che non richiedono credenziali di accesso
  • Problemi di attraversamento di directory
  • Local File Disclosure (LFD) e Remote File Inclusion (RFI)
  • Manipolazione dei pagamenti
  • Bug di esecuzione del codice lato server

Vulnerabilità non qualificanti

  • Open-Redirects: Il 99% dei reindirizzamenti aperti hanno un basso impatto sulla sicurezza. Per i rari casi in cui l'impatto è maggiore, ad esempio, il furto di token oauth, vogliamo comunque sentirne parlare
  • Rapporti che affermano che il software è obsoleto/vulnerabile senza una "prova di concetto".
  • Problemi di intestazione dell'host senza un POC di accompagnamento che dimostri la vulnerabilità
  • Problemi XSS che colpiscono solo i browser obsoleti
  • Tracce di stack che rivelano informazioni
  • Clickjacking e problemi sfruttabili solo tramite clickjacking
  • Iniezione di CSV. Si veda questo articolo: Iniezione di formule CSV | Google
  • Preoccupazioni per le migliori pratiche
  • Rapporti altamente speculativi su danni teorici. Essere concreti
  • Auto-XSS che non può essere usato per sfruttare altri utenti
  • Vulnerabilità segnalate da strumenti automatici senza ulteriori analisi su come sono un problema
  • Rapporti di scanner automatici di vulnerabilità web (Acunetix, Burp Suite, Vega, ecc.) che non sono stati convalidati
  • Attacchi Denial of Service
  • Attacchi a forza bruta
  • Scaricamento di file riflessi (RFD)
  • Tentativi di ingegneria fisica o sociale (sono inclusi gli attacchi di phishing contro i dipendenti di Xoxoday ).
  • Problemi di iniezione di contenuto
  • Cross-site Request Forgery (CSRF) con implicazioni minime di sicurezza (Logout CSRF, ecc.)
  • Attributi di completamento automatico mancanti
  • Flag mancanti sui cookie non sensibili alla sicurezza
  • Problemi che richiedono l'accesso fisico al computer della vittima
  • Intestazioni di sicurezza mancanti che non presentano una vulnerabilità di sicurezza immediata.
  • Problemi di frode
  • Raccomandazioni sul miglioramento della sicurezza
  • Rapporti di scansione SSL/TLS (questo significa output da siti come SSL Labs)
  • Problemi di presa del banner (capire quale server web usiamo, ecc.)
  • Porte aperte senza un POC di accompagnamento che dimostri la vulnerabilità
  • Vulnerabilità rivelate di recente. Abbiamo bisogno di tempo per patchare i nostri sistemi proprio come tutti gli altri - per favore dateci due settimane prima di segnalare questo tipo di problemi

Premiare

Le ricompense Bug Bounty saranno pagate sotto forma di carte regalo popolari. Il valore della carta regalo dipenderà dalla gravità e dalla qualità del bug come di seguito:

Gravità del bug
Valore della ricompensa
Alto
INR 5,000
Medio
INR 2,500
Basso
INR 1,000

Nota

La decisione finale sull'ammissibilità e la ricompensa dei bug sarà presa da Xoxoday. Il programma è completamente a discrezione dell'azienda e può essere annullato in qualsiasi momento.

Trovato un bug?

Contattateci per sollevare un ticket, se vi capita di notare un potenziale problema di sicurezza mentre soddisfate anche tutti i criteri richiesti nella nostra politica.

REPORT