Xoxoday Bug Bounty-programma

1. Neem contact met ons op via [email protected] om een ticket in te dienen als je een potentieel beveiligingsprobleem opmerkt terwijl je voldoet aan alle vereiste criteria in ons beleid.
2. De validatie van het gerapporteerde probleem in termen van ernst en authenticiteit zal worden gedaan door ons beveiligingsteam in ongeveer 90 dagen.
3. Na validatie worden er stappen ondernomen om de beveiligingsproblemen op te lossen in overeenstemming met ons beveiligingsbeleid.
4. De eigenaar van het ticket wordt geïnformeerd zodra het probleem is opgelost.

Om in aanmerking te komen voor een beloning moet je aan de volgende voorwaarden voldoen:

1. Je moet de eerste persoon zijn die een kwetsbaarheid rapporteert aan Xoxoday.
2. Het probleem moet invloed hebben op een van de toepassingen die zijn opgenomen in ons gedefinieerde toepassingsgebied.
3. De kwestie moet vallen onder de 'Kwalificerende' bugs die op de lijst staan.
4. Het publiceren van informatie over kwetsbaarheden in het publieke domein is niet toegestaan.
5. Alle informatie over het probleem met de kwetsbaarheid moet vertrouwelijk blijven tot het probleem is opgelost.
6. Bij het uitvoeren van beveiligingstests mogen geen privacybeleidsregels van Xoxoday worden geschonden.
7. Wijziging of verwijdering van niet-geauthenticeerde gebruikersgegevens, verstoring van productieservers of enige vorm van verslechtering van de gebruikerservaring is volledig verboden.

Overtreding van een van deze regels kan leiden tot onverkiesbaarheid of verwijdering uit het Xoxoday bug bounty-programma.

1. Gebruik alleen het geïdentificeerde kanaal [email protected] om kwetsbaarheden in de beveiliging te melden.
2. Zorg er bij het aanmaken van het ticket voor dat de beschrijving en de mogelijke impact van de kwetsbaarheid duidelijk worden vermeld.
3. Er moeten ook gedetailleerde instructies worden opgenomen over de stappen die moeten worden gevolgd om de kwetsbaarheid te reproduceren.
4. Een volledige Video POC moet verplicht worden bijgevoegd met alle stappen en informatie.
5. Details over de reikwijdte en de kwalificatiecriteria staan hieronder vermeld.

1. Website: Xoxoday Winkel
2. Websites buiten bereik: Staging-subdomeinen, elk ander subdomein dat niet is verbonden met xoxoday.com

Elk ontwerp- of implementatieprobleem dat de vertrouwelijkheid of integriteit van gebruikersgegevens aanzienlijk beïnvloedt, valt waarschijnlijk binnen het bereik van het programma. Bekende voorbeelden zijn:

• Cross-site scripting (XSS)
• Cross-Site Request Forgery (CSRF)
• SSRF (Server-Side Request Forgery)
• SQL-injectie
• RCE (Remote Code Execution) aan serverzijde
• Aanvallen door externe XML-entiteiten (XXE)
• Toegangscontroleproblemen (onveilige directe objectverwijzing, privilege-escalatie, etc.)
• Openstaande beheerpanelen waarvoor geen inloggegevens nodig zijn
• Problemen met directory-traversal
• Local File Disclosure (LFD) en Remote File Inclusion (RFI)
• Manipulatie van betalingen
• Bugs in de uitvoering van server-side code
  

• Open omleidingen: 99% van de open redirects hebben een lage impact op de beveiliging. In de zeldzame gevallen waar de impact groter is, bijvoorbeeld bij het stelen van oauth tokens, willen we er toch over horen.
• Rapporten waarin staat dat software verouderd/kwetsbaar is zonder een 'Proof of Concept'.
• Problemen met hostheaders zonder een bijbehorende POC die de kwetsbaarheid aantoont
• XSS-problemen die alleen verouderde browsers treffen
• Stacktraces die informatie vrijgeven
• Clickjacking en problemen die alleen via clickjacking kunnen worden uitgebuit
• CSV-injectie. Zie dit artikel: CSV-formule injectie | Google
• Best practices
• Zeer speculatieve rapporten over theoretische schade. Wees concreet
• Zelf-XSS dat niet kan worden gebruikt om andere gebruikers uit te buiten
• Kwetsbaarheden zoals gerapporteerd door geautomatiseerde tools zonder aanvullende analyse over hoe ze een probleem vormen
• Rapporten van geautomatiseerde scanners voor webkwetsbaarheden (Acunetix, Burp Suite, Vega, enz.) die niet zijn gevalideerd
• Denial of Service-aanvallen
• Brute force aanvallen
• Gereflecteerde bestandsdownload (RFD)
• Fysieke of social engineering-pogingen (dit omvat phishing-aanvallen op Xoxoday werknemers)
• Problemen met injecteren van inhoud
• Cross-site Request Forgery (CSRF) met minimale gevolgen voor de beveiliging (CSRF voor afmelden, enz.)
• Ontbrekende kenmerken voor autoaanvullen
• Ontbrekende cookie-flags op niet-veiligheidsgevoelige cookies
• Problemen waarvoor fysieke toegang tot de computer van het slachtoffer nodig is
• Ontbrekende beveiligingsheaders die geen direct beveiligingslek vormen.
• Fraude
• Aanbevelingen voor verbetering van de beveiliging
• SSL/TLS scanrapporten (dit betekent uitvoer van sites zoals SSL Labs)
• Banner grabbing problemen (uitzoeken welke webserver we gebruiken, etc.)
• Poorten openen zonder een bijbehorende POC die de kwetsbaarheid aantoont
• Onlangs geopenbaarde kwetsbaarheden. We hebben net als iedereen tijd nodig om onze systemen te patchen - geef ons twee weken voordat u dit soort problemen meldt.

Bug Bounty beloningen worden uitbetaald in de vorm van populaire cadeaubonnen. De waarde van de cadeaubon hangt af van de ernst en de kwaliteit van de bug, zoals hieronder aangegeven:

De uiteindelijke beslissing of een bug in aanmerking komt en wordt beloond, wordt genomen door Xoxoday. Het programma bestaat volledig naar goeddunken van het bedrijf en kan op elk moment worden geannuleerd.