Programma Bug Bountydi Xoxoday

In Xoxoday, siamo consapevoli che la protezione dei dati dei consumatori è una priorità elevata e una responsabilità estremamente significativa che richiede un monitoraggio costante. Apprezziamo profondamente tutti coloro che nella comunità della sicurezza ci aiutano a garantire la sicurezza al 100% di tutti i nostri sistemi in ogni momento.

Crediamo che la divulgazione responsabile delle vulnerabilità di sicurezza ci aiuti a mantenere la massima sicurezza e la privacy di tutti i nostri utenti, e invitiamo i ricercatori di sicurezza a segnalare qualsiasi vulnerabilità di sicurezza che possono incontrare nei nostri prodotti. Coloro che presenteranno qualsiasi bug nell'ambito del nostro programma, saranno ricompensati di cuore per il loro supporto e la loro esperienza in materia di sicurezza.

Come funziona

  1. Contattateci all'indirizzo [email protected] per segnalare un ticket, se notate un potenziale problema di sicurezza pur soddisfacendo tutti i criteri richiesti dalla nostra politica.
  2. La convalida del problema segnalato in termini di gravità e autenticità sarà fatta dal nostro team di sicurezza in circa 90 giorni.
  3. Dopo la convalida, saranno prese misure per risolvere i problemi di sicurezza in conformità con le nostre politiche di sicurezza.
  4. Il proprietario del biglietto sarà informato una volta che il problema sarà risolto.

Ammissibilità

Per avere diritto a una ricompensa, devi soddisfare i seguenti requisiti:

  1. Devi essere la prima persona a segnalare una vulnerabilità a Xoxoday.
  2. Il problema deve avere un impatto su una qualsiasi delle applicazioni elencate nel nostro ambito definito.
  3. La questione deve rientrare nei bug "qualificanti" elencati.
  4. La pubblicazione di informazioni sulla vulnerabilità nel dominio pubblico non è consentita.
  5. Qualsiasi informazione sul problema di vulnerabilità deve essere tenuta riservata fino a quando il problema non è risolto.
  6. Nessuna politica di privacy stabilita da Xoxoday deve essere violata durante l'esecuzione dei test di sicurezza.
  7. La modifica o la cancellazione dei dati degli utenti non autenticati, l'interruzione dei server di produzione o qualsiasi forma di degradazione dell'esperienza degli utenti è completamente proibita.

La violazione di una qualsiasi di queste regole può comportare l'ineleggibilità o la rimozione dal programma bug bounty di Xoxoday

Linee guida

  1. Utilizzare solo il canale identificato [email protected] per segnalare qualsiasi vulnerabilità di sicurezza.
  2. Mentre sollevate il ticket, assicuratevi che la descrizione e l'impatto potenziale della vulnerabilità siano chiaramente menzionati.
  3. Devono anche essere incluse istruzioni dettagliate sui passi da seguire per riprodurre la vulnerabilità.
  4. Un Video POC completo dovrebbe essere obbligatoriamente allegato mostrando tutti i passi e le informazioni.
  5. I dettagli sullo scopo e sui criteri di qualificazione sono menzionati di seguito.

Portata

  1. Sito web: Xoxoday Store
  2. Siti web fuori portata: Sottodomini in fase di allestimento, qualsiasi altro sottodominio che non è collegato a xoxoday.com

Vulnerabilità qualificanti

Qualsiasi problema di progettazione o implementazione che colpisce sostanzialmente la riservatezza o l'integrità dei dati degli utenti è probabile che sia nell'ambito del programma. Esempi comuni includono:

  • Cross-site Scripting (XSS)
  • Falsificazione di richieste cross-site (CSRF)
  • Falsificazione delle richieste sul lato server (SSRF)
  • Iniezione SQL
  • Esecuzione di codice remoto (RCE) sul lato server
  • XML External Entity Attacks (XXE)
  • Problemi di controllo dell'accesso (problemi di riferimento diretto agli oggetti insicuri, escalation dei privilegi, ecc.)
  • Pannelli amministrativi esposti che non richiedono credenziali di accesso
  • Problemi di attraversamento di directory
  • Local File Disclosure (LFD) e Remote File Inclusion (RFI)
  • Manipolazione dei pagamenti
  • Bug di esecuzione del codice lato server

Vulnerabilità non qualificanti

  • Open-Redirects: Il 99% dei reindirizzamenti aperti hanno un basso impatto sulla sicurezza. Per i rari casi in cui l'impatto è maggiore, ad esempio, il furto di token oauth, vogliamo comunque sentirne parlare
  • Rapporti che affermano che il software è obsoleto/vulnerabile senza una "prova di concetto".
  • Problemi di intestazione dell'host senza un POC di accompagnamento che dimostri la vulnerabilità
  • Problemi XSS che colpiscono solo i browser obsoleti
  • Tracce di stack che rivelano informazioni
  • Clickjacking e problemi sfruttabili solo tramite clickjacking
  • Iniezione di CSV. Si veda questo articolo: Iniezione di formule CSV | Google
  • Preoccupazioni per le migliori pratiche
  • Rapporti altamente speculativi su danni teorici. Essere concreti
  • Auto-XSS che non può essere usato per sfruttare altri utenti
  • Vulnerabilità segnalate da strumenti automatici senza ulteriori analisi su come sono un problema
  • Rapporti di scanner automatici di vulnerabilità web (Acunetix, Burp Suite, Vega, ecc.) che non sono stati convalidati
  • Attacchi Denial of Service
  • Attacchi a forza bruta
  • Scaricamento di file riflessi (RFD)
  • Tentativi di ingegneria fisica o sociale (questo include gli attacchi di phishing contro i dipendenti di Xoxoday)
  • Problemi di iniezione di contenuto
  • Cross-site Request Forgery (CSRF) con implicazioni minime di sicurezza (Logout CSRF, ecc.)
  • Attributi di completamento automatico mancanti
  • Flag mancanti sui cookie non sensibili alla sicurezza
  • Problemi che richiedono l'accesso fisico al computer della vittima
  • Intestazioni di sicurezza mancanti che non presentano una vulnerabilità di sicurezza immediata.
  • Problemi di frode
  • Raccomandazioni sul miglioramento della sicurezza
  • Rapporti di scansione SSL/TLS (questo significa output da siti come SSL Labs)
  • Problemi di presa del banner (capire quale server web usiamo, ecc.)
  • Porte aperte senza un POC di accompagnamento che dimostri la vulnerabilità
  • Vulnerabilità rivelate di recente. Abbiamo bisogno di tempo per patchare i nostri sistemi proprio come tutti gli altri - per favore dateci due settimane prima di segnalare questo tipo di problemi

Premiare

Le ricompense Bug Bounty saranno pagate sotto forma di carte regalo popolari. Il valore della carta regalo dipenderà dalla gravità e dalla qualità del bug come di seguito:

Gravità del bug
Valore della ricompensa
Alto
INR 5,000
Medio
INR 2,500
Basso
INR 1,000

Nota

La decisione finale sull'ammissibilità dei bug e la ricompensa sarà presa da Xoxoday. Il programma esiste completamente a discrezione dell'azienda e può essere cancellato in qualsiasi momento.

Trovato un bug?

Contattateci per sollevare un ticket, se vi capita di notare un potenziale problema di sicurezza mentre soddisfate anche tutti i criteri richiesti nella nostra politica.

REPORT