Xoxoday Bug Bounty Programma

Bij Xoxoday begrijpen we dat de bescherming van consumentengegevens een hoge prioriteit heeft en een zeer belangrijke verantwoordelijkheid is die constante controle vereist. Wij waarderen alle mensen in de beveiligingsgemeenschap die ons helpen om al onze systemen te allen tijde 100% veilig te stellen.

Wij zijn van mening dat verantwoordelijke openbaarmaking van beveiligingsproblemen ons helpt bij het handhaven van de grootst mogelijke veiligheid en privacy van al onze gebruikers en wij nodigen beveiligingsonderzoekers uit om alle beveiligingsproblemen te melden die zij mogelijk in onze producten tegenkomen. Degenen die bugs indienen binnen het bereik van ons programma, zullen hartelijk worden beloond voor hun ondersteuning & beveiligingsexpertise.

Hoe het werkt

  1. Neem contact met ons op via [email protected] om een ticket in te dienen als je een potentieel beveiligingsprobleem opmerkt terwijl je voldoet aan alle vereiste criteria in ons beleid.
  2. De validatie van het gerapporteerde probleem in termen van ernst en authenticiteit zal worden gedaan door ons beveiligingsteam in ongeveer 90 dagen.
  3. Na validatie worden er stappen ondernomen om de beveiligingsproblemen op te lossen in overeenstemming met ons beveiligingsbeleid.
  4. De eigenaar van het ticket wordt geïnformeerd zodra het probleem is opgelost.

Geschiktheid

Om in aanmerking te komen voor een beloning moet je aan de volgende voorwaarden voldoen:

  1. Je moet de eerste persoon zijn die een kwetsbaarheid meldt bij Xoxoday.
  2. Het probleem moet invloed hebben op een van de toepassingen die zijn opgenomen in ons gedefinieerde toepassingsgebied.
  3. De kwestie moet vallen onder de 'Kwalificerende' bugs die op de lijst staan.
  4. Het publiceren van informatie over kwetsbaarheden in het publieke domein is niet toegestaan.
  5. Alle informatie over het probleem met de kwetsbaarheid moet vertrouwelijk blijven tot het probleem is opgelost.
  6. Bij het uitvoeren van beveiligingstests mag het privacybeleid van Xoxoday niet worden geschonden.
  7. Wijziging of verwijdering van niet-geauthenticeerde gebruikersgegevens, verstoring van productieservers of enige vorm van verslechtering van de gebruikerservaring is volledig verboden.

Overtreding van een van deze regels kan resulteren in onverkiesbaarheid of verwijdering uit het Xoxoday bug bounty programma

Richtlijnen

  1. Gebruik alleen het geïdentificeerde kanaal [email protected] om een beveiligingslek te melden.
  2. Zorg er bij het aanmaken van het ticket voor dat de beschrijving en de mogelijke impact van de kwetsbaarheid duidelijk worden vermeld.
  3. Er moeten ook gedetailleerde instructies worden opgenomen over de stappen die moeten worden gevolgd om de kwetsbaarheid te reproduceren.
  4. Een volledige Video POC moet verplicht worden bijgevoegd met alle stappen en informatie.
  5. Details over de reikwijdte en de kwalificatiecriteria staan hieronder vermeld.

Toepassingsgebied

  1. Website: Xoxoday-winkel
  2. Out-of-Scope websites: Staging subdomeinen, elk ander subdomein dat niet verbonden is met xoxoday.com

Kwalificerende kwetsbaarheden

Elk ontwerp- of implementatieprobleem dat de vertrouwelijkheid of integriteit van gebruikersgegevens aanzienlijk beïnvloedt, valt waarschijnlijk binnen het bereik van het programma. Bekende voorbeelden zijn:

  • Cross-site scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • SSRF (Server-Side Request Forgery)
  • SQL-injectie
  • RCE (Remote Code Execution) aan serverzijde
  • Aanvallen door externe XML-entiteiten (XXE)
  • Toegangscontroleproblemen (onveilige directe objectverwijzing, privilege-escalatie, etc.)
  • Openstaande beheerpanelen waarvoor geen inloggegevens nodig zijn
  • Problemen met directory-traversal
  • Local File Disclosure (LFD) en Remote File Inclusion (RFI)
  • Manipulatie van betalingen
  • Bugs in de uitvoering van server-side code

Niet-kwalificerende kwetsbaarheden

  • Open omleidingen: 99% van de open redirects hebben een lage impact op de beveiliging. In de zeldzame gevallen waar de impact groter is, bijvoorbeeld bij het stelen van oauth tokens, willen we er toch over horen.
  • Rapporten waarin staat dat software verouderd/kwetsbaar is zonder een 'Proof of Concept'.
  • Problemen met hostheaders zonder een bijbehorende POC die de kwetsbaarheid aantoont
  • XSS-problemen die alleen verouderde browsers treffen
  • Stacktraces die informatie vrijgeven
  • Clickjacking en problemen die alleen via clickjacking kunnen worden uitgebuit
  • CSV-injectie. Zie dit artikel: CSV-formule injectie | Google
  • Best practices
  • Zeer speculatieve rapporten over theoretische schade. Wees concreet
  • Zelf-XSS dat niet kan worden gebruikt om andere gebruikers uit te buiten
  • Kwetsbaarheden zoals gerapporteerd door geautomatiseerde tools zonder aanvullende analyse over hoe ze een probleem vormen
  • Rapporten van geautomatiseerde scanners voor webkwetsbaarheden (Acunetix, Burp Suite, Vega, enz.) die niet zijn gevalideerd
  • Denial of Service-aanvallen
  • Brute force aanvallen
  • Gereflecteerde bestandsdownload (RFD)
  • Fysieke of social engineering-pogingen (dit omvat phishing-aanvallen tegen Xoxoday-medewerkers)
  • Problemen met injecteren van inhoud
  • Cross-site Request Forgery (CSRF) met minimale gevolgen voor de beveiliging (CSRF voor afmelden, enz.)
  • Ontbrekende kenmerken voor autoaanvullen
  • Ontbrekende cookie-flags op niet-veiligheidsgevoelige cookies
  • Problemen waarvoor fysieke toegang tot de computer van het slachtoffer nodig is
  • Ontbrekende beveiligingsheaders die geen direct beveiligingslek vormen.
  • Fraude
  • Aanbevelingen voor verbetering van de beveiliging
  • SSL/TLS scanrapporten (dit betekent uitvoer van sites zoals SSL Labs)
  • Banner grabbing problemen (uitzoeken welke webserver we gebruiken, etc.)
  • Poorten openen zonder een bijbehorende POC die de kwetsbaarheid aantoont
  • Onlangs geopenbaarde kwetsbaarheden. We hebben net als iedereen tijd nodig om onze systemen te patchen - geef ons twee weken voordat u dit soort problemen meldt.

Belonen

Bug Bounty beloningen worden uitbetaald in de vorm van populaire cadeaubonnen. De waarde van de cadeaubon hangt af van de ernst en de kwaliteit van de bug, zoals hieronder aangegeven:

Ernst bug
Beloningswaarde
Hoog
INR 5,000
Medium
INR 2,500
Laag
INR 1,000

Opmerking

De uiteindelijke beslissing of een bug in aanmerking komt en wordt beloond, wordt genomen door Xoxoday. Het programma bestaat volledig naar eigen goeddunken en kan op elk moment worden geannuleerd.

Bug gevonden?

Neem contact met ons op om een ticket in te dienen als je een potentieel beveiligingsprobleem opmerkt, terwijl je ook voldoet aan alle vereiste criteria in ons beleid.

VERSLAG