Xoxoday Bug Bounty Program

At Xoxoday, we understand that the protection of consumer data is a high priority and extremely significant responsibility that requires constant monitoring. We deeply value all those in the security community that help us in ensuring 100% security of all our systems at all times.

We believe that responsible disclosure of security vulnerabilities help us in maintaining the utmost security & privacy of all our users, and we invite security researchers to report any security vulnerability that they may come across in our products. Those submitting any bugs within the scope of our program, will be heartily rewarded for their support & security expertise.

Wie es funktioniert

  1. Reach out to us at [email protected] to raise a ticket, if you happen to notice any potential security issue whilst meeting all the required criteria in our policy.
  2. Die Validierung des gemeldeten Problems in Bezug auf Schwere und Authentizität wird von unserem Sicherheitsteam innerhalb von etwa 90 Tagen durchgeführt.
  3. Nach der Validierung werden Schritte unternommen, um die Sicherheitsprobleme in Übereinstimmung mit unseren Sicherheitsrichtlinien zu beheben.
  4. Der Besitzer des Tickets wird benachrichtigt, sobald das Problem gelöst ist.

Zuschussfähigkeit

Um für eine Prämie in Frage zu kommen, müssen Sie die folgenden Voraussetzungen erfüllen:

  1. You must be the first person to report a vulnerability to Xoxoday.
  2. Das Problem muss sich auf eine der Anwendungen auswirken, die in unserem definierten Anwendungsbereich aufgeführt sind.
  3. Die Ausgabe muss unter die aufgelisteten "qualifizierten" Fehler fallen.
  4. Die Veröffentlichung von Informationen über Schwachstellen in der Öffentlichkeit ist nicht gestattet.
  5. Alle Informationen über die Sicherheitslücke müssen vertraulich behandelt werden, bis das Problem behoben ist.
  6. No privacy policies set by Xoxoday must be violated when performing security testing.
  7. Die Änderung oder Löschung nicht authentifizierter Benutzerdaten, die Unterbrechung von Produktionsservern oder jede Form der Beeinträchtigung der Benutzererfahrung ist absolut verboten.

Violation of any of these rules can result in ineligibility or removal from the Xoxoday bug bounty program

Leitlinien

  1. Use only the identified channel [email protected] to report any security vulnerability.
  2. Achten Sie bei der Meldung darauf, dass die Beschreibung und die potenziellen Auswirkungen der Schwachstelle deutlich genannt werden.
  3. Es müssen auch detaillierte Anweisungen zu den Schritten enthalten sein, die zur Reproduktion der Schwachstelle zu befolgen sind.
  4. Ein vollständiger Video-POC sollte zwingend beigefügt werden, der alle Schritte und Informationen enthält.
  5. Einzelheiten zum Umfang und zu den Qualifikationskriterien sind nachstehend aufgeführt.

Umfang

  1. Website: Xoxoday Store
  2. Out-of-Scope websites: Staging subdomains, any other subdomain which is not connected to xoxoday.com

Qualifizierte Schwachstellen

Jedes Design- oder Implementierungsproblem, das die Vertraulichkeit oder Integrität von Benutzerdaten wesentlich beeinträchtigt, fällt wahrscheinlich in den Anwendungsbereich des Programms. Übliche Beispiele sind:

  • Cross-Site-Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Server-seitige Anforderungsfälschung (SSRF)
  • SQL-Einschleusung
  • Server-seitige Remote Code Execution (RCE)
  • XML External Entity Angriffe (XXE)
  • Probleme mit der Zugangskontrolle (unsichere direkte Objektreferenzen, Eskalation von Privilegien usw.)
  • Offene Verwaltungsbereiche, für die keine Anmeldedaten erforderlich sind
  • Probleme bei der Verzeichnisüberquerung
  • Lokale Dateifreigabe (LFD) und entfernte Dateieinbindung (RFI)
  • Manipulationen von Zahlungen
  • Fehler bei der serverseitigen Codeausführung

Nicht-qualifizierende Schwachstellen

  • Offene Weiterleitungen: 99 % der offenen Weiterleitungen haben nur geringe Sicherheitsauswirkungen. In den seltenen Fällen, in denen die Auswirkungen größer sind, z. B. beim Diebstahl von Oauth-Tokens, möchten wir dennoch davon erfahren
  • Berichte, in denen festgestellt wird, dass Software veraltet/anfällig ist, ohne dass ein "Proof of Concept" vorliegt
  • Host-Header-Probleme ohne einen begleitenden POC, der die Schwachstelle nachweist
  • XSS-Probleme, die nur veraltete Browser betreffen
  • Stack Traces, die Informationen offenlegen
  • Clickjacking und Probleme, die nur durch Clickjacking ausgenutzt werden können
  • CSV-Injektion. Bitte lesen Sie diesen Artikel: CSV-Formel-Injektion | Google
  • Bedenken hinsichtlich bewährter Praktiken
  • Höchst spekulative Berichte über theoretische Schäden. Konkret sein
  • Selbst-XSS, das nicht verwendet werden kann, um andere Benutzer auszunutzen
  • Schwachstellen, wie sie von automatischen Tools gemeldet werden, ohne zusätzliche Analyse, inwiefern sie ein Problem darstellen
  • Berichte von automatischen Web-Schwachstellen-Scannern (Acunetix, Burp Suite, Vega usw.), die nicht validiert wurden
  • Denial-of-Service-Angriffe
  • Brute-Force-Angriffe
  • Reflektierter Dateidownload (RFD)
  • Physical or social engineering attempts (this includes phishing attacks against Xoxoday employees)
  • Probleme bei der Einspeisung von Inhalten
  • Cross-Site Request Forgery (CSRF) mit minimalen Sicherheitsauswirkungen (Logout CSRF, etc.)
  • Fehlende Attribute zum automatischen Vervollständigen
  • Fehlende Cookie-Flags bei nicht sicherheitsrelevanten Cookies
  • Probleme, die einen physischen Zugang zum Computer des Opfers erfordern
  • Fehlende Sicherheits-Header, die keine unmittelbare Sicherheitslücke darstellen.
  • Betrugsprobleme
  • Empfehlungen zur Verbesserung der Sicherheit
  • SSL/TLS-Scanberichte (d. h. Ausgaben von Websites wie SSL Labs)
  • Probleme mit dem Banner-Grabbing (herausfinden, welchen Webserver wir verwenden, usw.)
  • Offene Ports ohne einen begleitenden POC, der die Verwundbarkeit nachweist
  • Kürzlich bekannt gewordene Sicherheitslücken. Wir brauchen wie alle anderen auch Zeit, um unsere Systeme zu patchen. Bitte geben Sie uns zwei Wochen Zeit, bevor Sie diese Art von Problemen melden.

Belohnung

Bug Bounty-Belohnungen werden in Form von beliebten Geschenkkarten ausgezahlt. Der Wert des Geschenkgutscheins hängt von der Schwere und Qualität des Fehlers ab (siehe unten):

Schwere des Fehlers
Belohnungswert
Hoch
INR 5,000
Mittel
INR 2,500
Niedrig
INR 1,000

Hinweis

The final decision on bug eligibility and rewarding will be made by Xoxoday. The program exists completely at the firm’s discretion and has the provision to be canceled at any time.

Einen Fehler gefunden?

Wenden Sie sich an uns, um ein Ticket zu erstellen, wenn Sie ein potenzielles Sicherheitsproblem bemerken und gleichzeitig alle erforderlichen Kriterien in unserer Richtlinie erfüllen.

BERICHT