Xoxoday Bug Bounty Program

1. Reach out to us at [email protected] to raise a ticket, if you happen to notice any potential security issue whilst meeting all the required criteria in our policy.
2. Pengesahan isu yang dilaporkan dari segi keterukan & kesahihan akan dilakukan oleh pasukan keselamatan kami dalam masa 90 hari.
3. Selepas pengesahan, langkah-langkah akan diambil untuk membetulkan isu keselamatan mengikut dasar keselamatan kami.
4. Pemilik tiket akan dimaklumkan sebaik sahaja isu itu diselesaikan.

Untuk layak mendapat ganjaran, syarat-syarat berikut mesti dipenuhi oleh anda:

1. You must be the first person to report a vulnerability to Xoxoday.
2. Isu ini mesti memberi kesan kepada mana-mana aplikasi yang disenaraikan di bawah skop kami yang ditentukan.
3. Isu ini mesti berada di bawah pepijat 'Kelayakan' yang disenaraikan.
4. Penerbitan maklumat kerentanan dalam domain awam tidak dibenarkan.
5. Sebarang maklumat mengenai isu kerentanan mesti dirahsiakan sehingga isu itu diselesaikan.
6. No privacy policies set by Xoxoday must be violated when performing security testing.
7. Pengubahsuaian atau pemadaman data pengguna yang tidak disahkan, gangguan pelayan pengeluaran, atau sebarang bentuk kemerosotan kepada pengalaman pengguna adalah dilarang sama sekali.

Violation of any of these rules can result in ineligibility or removal from the Xoxoday bug bounty program

1. Use only the identified channel [email protected] to report any security vulnerability.
2. Semasa menaikkan tiket, pastikan penerangan dan potensi kesan kelemahan disebut dengan jelas.
3. Arahan terperinci mengenai langkah-langkah yang perlu diikuti untuk menghasilkan semula kelemahan juga mesti disertakan.
4. POC Video yang lengkap hendaklah dilampirkan secara mandatori menunjukkan semua langkah dan maklumat.
5. Butiran mengenai skop dan kriteria kelayakan disebutkan di bawah.

1. Website: Xoxoday Store
2. Out-of-Scope websites: Staging subdomains, any other subdomain which is not connected to xoxoday.com

Sebarang isu reka bentuk atau pelaksanaan yang memberi kesan besar kepada kerahsiaan atau integriti data pengguna mungkin berada dalam skop untuk program ini. Contoh biasa termasuk:

• Skrip silang tapak (XSS)
• Pemalsuan Permintaan Merentas Tapak (CSRF)
• Pemalsuan Permintaan Pihak Pelayan (SSRF)
• Suntikan SQL
• Pelaksanaan Kod Jauh Sisi Pelayan (RCE)
• Serangan Entiti Luaran XML (XXE)
• Isu Kawalan Capaian (Isu Rujukan Objek Langsung Tidak Selamat, Peningkatan Keistimewaan, dsb)
• Panel Pentadbiran terdedah yang tidak memerlukan kelayakan log masuk
• Isu Traversal Direktori
• Pendedahan Fail Tempatan (LFD) dan Kemasukan Fail Jauh (RFI)
• Manipulasi Pembayaran
• Pepijat pelaksanaan kod bahagian pelayan
  

• Open-Redirects: 99% daripada pengalihan terbuka mempunyai kesan keselamatan yang rendah. Untuk kes-kes yang jarang berlaku di mana kesannya lebih tinggi, contohnya, mencuri token oauth, kami masih mahu mendengar tentang mereka
• Laporan yang menyatakan bahawa perisian sudah lapuk/terdedah tanpa 'Bukti Konsep'
• Isu pengepala hos tanpa POC yang disertakan menunjukkan kelemahan
• Isu XSS yang hanya menjejaskan pelayar lapuk
• Tindanan penyurihan yang mendedahkan maklumat
• Clickjacking dan isu hanya boleh dieksploitasi melalui clickjacking
• Suntikan CSV. Sila lihat artikel ini: Suntikan formula CSV | Google
• Kebimbangan amalan terbaik
• Laporan yang sangat spekulatif mengenai kerosakan teori. Jadilah konkrit
• XSS sendiri yang tidak boleh digunakan untuk mengeksploitasi pengguna lain
• Kerentanan seperti yang dilaporkan oleh alat automatik tanpa analisis tambahan tentang cara ia menjadi masalah
• Laporan daripada pengimbas kerentanan web automatik (Acunetix, Burp Suite, Vega, dll.) yang belum disahkan
• Penafian Serangan Perkhidmatan
• Serangan Pasukan Brute
• Muat Turun Fail Tercermin (RFD)
• Physical or social engineering attempts (this includes phishing attacks against Xoxoday employees)
• Isu suntikan kandungan
• Pemalsuan Permintaan Merentas Tapak (CSRF) dengan implikasi keselamatan yang minimum (Logout CSRF, dll.)
• Atribut autolengkap yang hilang
• Kuki yang hilang membenderakan kuki yang tidak sensitif keselamatan
• Isu yang memerlukan akses fizikal ke komputer mangsa
• Kehilangan pengepala keselamatan yang tidak menunjukkan kelemahan keselamatan serta-merta.
• Isu Penipuan
• Cadangan tentang peningkatan keselamatan
• Laporan imbasan SSL / TLS (ini bermaksud output dari laman web seperti Makmal SSL)
• Banner merebut isu (memikirkan apa pelayan web yang kami gunakan, dll.)
• Pelabuhan terbuka tanpa POC yang disertakan menunjukkan kelemahan
• Kelemahan yang didedahkan baru-baru ini. Kami memerlukan masa untuk menampal sistem kami seperti orang lain - sila berikan kami dua minggu sebelum melaporkan jenis isu ini

Ganjaran Bug Bounty akan dibayar dalam bentuk kad hadiah popular. Nilai kad hadiah bergantung kepada keterukan dan kualiti pepijat seperti di bawah:

The final decision on bug eligibility and rewarding will be made by Xoxoday. The program exists completely at the firm’s discretion and has the provision to be canceled at any time.