โปรแกรมค่าหัวบั๊กXoxoday

ที่ Xoxoday เราเข้าใจว่าการปกป้องข้อมูลผู้บริโภคมีความสําคัญสูงและมีความรับผิดชอบอย่างมากซึ่งต้องมีการตรวจสอบอย่างต่อเนื่อง เราให้ความสําคัญกับทุกคนในชุมชนความปลอดภัยที่ช่วยให้เรามั่นใจในความปลอดภัย 100% ของระบบทั้งหมดของเราตลอดเวลา

เราเชื่อว่าการเปิดเผยช่องโหว่ด้านความปลอดภัยอย่างรับผิดชอบช่วยให้เรารักษาความปลอดภัยสูงสุดและความเป็นส่วนตัวของผู้ใช้ทั้งหมดของเราและเราขอเชิญนักวิจัยด้านความปลอดภัยรายงานช่องโหว่ด้านความปลอดภัยที่พวกเขาอาจเจอในผลิตภัณฑ์ของเรา ผู้ที่ส่งข้อบกพร่องใด ๆ ภายในขอบเขตของโปรแกรมของเราจะได้รับรางวัลอย่างสุดใจสําหรับการสนับสนุนของพวกเขา

วิธีการทํางาน

  1. ติดต่อเราได้ที่ [email protected] เพื่อขึ้นตั๋วหากคุณสังเกตเห็นปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นในขณะที่มีคุณสมบัติตรงตามเกณฑ์ที่กําหนดทั้งหมดในนโยบายของเรา
  2. การตรวจสอบปัญหาที่รายงานในแง่ของความรุนแรงและความถูกต้องจะทําโดยทีมรักษาความปลอดภัยของเราในเวลาประมาณ 90 วัน
  3. โพสต์การตรวจสอบขั้นตอนจะดําเนินการเพื่อแก้ไขปัญหาด้านความปลอดภัยตามนโยบายความปลอดภัยของเรา
  4. เจ้าของตั๋วจะได้รับแจ้งเมื่อปัญหาได้รับการแก้ไขแล้ว

คุณสมบัติ

เพื่อให้มีสิทธิ์ได้รับรางวัลคุณต้องปฏิบัติตามข้อกําหนดต่อไปนี้:

  1. คุณต้องเป็นคนแรกที่รายงานช่องโหว่ของ Xoxoday
  2. ปัญหานี้ต้องส่งผลกระทบต่อแอปพลิเคชันใด ๆ ที่ระบุไว้ในขอบเขตที่กําหนดของเรา
  3. ปัญหาจะต้องอยู่ภายใต้ข้อบกพร่อง 'มีคุณสมบัติ' ที่ระบุไว้
  4. ไม่อนุญาตให้เผยแพร่ข้อมูลช่องโหว่ในสาธารณสมบัติ
  5. ข้อมูลใดๆ เกี่ยวกับปัญหาช่องโหว่ต้องเก็บเป็นความลับจนกว่าปัญหาจะได้รับการแก้ไข
  6. ไม่มีการละเมิดนโยบายความเป็นส่วนตัวที่กําหนดโดย Xoxoday เมื่อทําการทดสอบความปลอดภัย
  7. ห้ามแก้ไขหรือลบข้อมูลผู้ใช้ที่ไม่ผ่านการตรวจสอบการหยุดชะงักของเซิร์ฟเวอร์การผลิตหรือการเสื่อมสภาพรูปแบบใด ๆ ต่อประสบการณ์ของผู้ใช้อย่างสมบูรณ์

การละเมิดกฎเหล่านี้อาจส่งผลให้ไม่สามารถถอดถอนหรือลบออกจากโปรแกรมค่าหัวบั๊ก Xoxoday

คำ แนะ นำ

  1. ใช้เฉพาะช่องทางที่ระบุ [email protected] เพื่อรายงานช่องโหว่ด้านความปลอดภัย
  2. ในขณะที่เพิ่มตั๋วตรวจสอบให้แน่ใจว่าคําอธิบายและผลกระทบที่อาจเกิดขึ้นจากช่องโหว่นั้นถูกกล่าวถึงอย่างชัดเจน
  3. คําแนะนําโดยละเอียดเกี่ยวกับขั้นตอนต่างๆ ที่ต้องปฏิบัติตามเพื่อสร้างช่องโหว่ต้องรวมอยู่ด้วย
  4. ควรแนบวิดีโอ POC ที่สมบูรณ์เพื่อแสดงขั้นตอนและข้อมูลทั้งหมด
  5. รายละเอียดเกี่ยวกับขอบเขตและเกณฑ์คุณสมบัติดังต่อไปนี้

ขอบเขต

  1. เว็บไซต์: ร้าน Xoxoday
  2. เว็บไซต์นอกขอบเขต: โดเมนย่อยที่จัดเตรียมไว้ โดเมนย่อยอื่นๆ ที่ไม่ได้เชื่อมต่อกับ xoxoday.com

ช่องโหว่ที่มีคุณสมบัติเหมาะสม

ปัญหาการออกแบบหรือการใช้งานใด ๆ ที่มีผลต่อการรักษาความลับหรือความสมบูรณ์ของข้อมูลผู้ใช้อย่างมากมีแนวโน้มที่จะอยู่ในขอบเขตสําหรับโปรแกรม ตัวอย่างทั่วไป ได้แก่ :

  • การเขียนสคริปต์ข้ามไซต์ (XSS)
  • การปลอมแปลงคําขอข้ามไซต์ (CSRF)
  • การปลอมแปลงคําขอฝั่งเซิร์ฟเวอร์ (SSRF)
  • การฉีด SQL
  • การเรียกใช้โค้ดจากระยะไกลฝั่งเซิร์ฟเวอร์ (RCE)
  • การโจมตีเอนทิตีภายนอก XML (XXE)
  • ปัญหาการควบคุมการเข้าถึง (ปัญหาการอ้างอิงวัตถุโดยตรงที่ไม่ปลอดภัยการเพิ่มระดับสิทธิ์ ฯลฯ )
  • แผงการดูแลระบบที่เปิดเผยซึ่งไม่ต้องการข้อมูลประจําตัวในการเข้าสู่ระบบ
  • ประเด็นการท่องไดเรกทอรี
  • การเปิดเผยข้อมูลไฟล์ภายในเครื่อง (LFD) และการรวมไฟล์ระยะไกล (RFI)
  • การจัดการการชําระเงิน
  • ข้อบกพร่องในการดําเนินการโค้ดฝั่งเซิร์ฟเวอร์

ช่องโหว่ที่ไม่มีคุณสมบัติ

  • เปิดเส้นทาง: 99% ของการเปลี่ยนเส้นทางแบบเปิดมีผลกระทบต่อความปลอดภัยต่ํา สําหรับกรณีที่หายากที่ผลกระทบสูงขึ้นเช่นการขโมยโทเค็นคําสาบานเรายังต้องการได้ยินเกี่ยวกับพวกเขา
  • รายงานที่ระบุว่าซอฟต์แวร์ล้าสมัย / มีความเสี่ยงโดยไม่มี 'หลักฐานแนวคิด'
  • ปัญหาส่วนหัวของโฮสต์โดยไม่มี POC ที่มาพร้อมกับ POC ที่แสดงให้เห็นถึงช่องโหว่
  • ปัญหา XSS ที่มีผลต่อเบราว์เซอร์ที่ล้าสมัยเท่านั้น
  • การติดตามสแต็คที่เปิดเผยข้อมูล
  • การคลิกและปัญหาที่ใช้ประโยชน์ได้ผ่านการคลิกแจ็คเท่านั้น
  • การฉีด CSV โปรดดูบทความนี้: |การฉีดสูตร CSV กูเกิล
  • ข้อกังวลเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุด
  • รายงานการเก็งกําไรสูงเกี่ยวกับความเสียหายทางทฤษฎี เป็นรูปธรรม
  • ตนเอง XSS ที่ไม่สามารถใช้เพื่อใช้ประโยชน์จากผู้ใช้รายอื่น
  • ช่องโหว่ตามที่รายงานโดยเครื่องมืออัตโนมัติโดยไม่มีการวิเคราะห์เพิ่มเติมว่าปัญหาเหล่านั้นเป็นอย่างไร
  • รายงานจากเครื่องสแกนช่องโหว่ของเว็บอัตโนมัติ (Acunetix, Burp Suite, Vega ฯลฯ ) ที่ยังไม่ได้รับการตรวจสอบความถูกต้อง
  • การปฏิเสธการโจมตีบริการ
  • การโจมตีด้วยกําลังดุร้าย
  • การดาวน์โหลดแฟ้มที่สะท้อน (RFD)
  • ความพยายามทางวิศวกรรมทางกายภาพหรือสังคม (ซึ่งรวมถึงการโจมตีฟิชชิ่งต่อพนักงาน Xoxoday)
  • ปัญหาการฉีดเนื้อหา
  • การปลอมแปลงคําขอข้ามไซต์ (CSRF) ที่มีผลกระทบด้านความปลอดภัยน้อยที่สุด (ออกจากระบบ CSRF ฯลฯ )
  • แอตทริบิวต์การทําให้สมบูรณ์อัตโนมัติหายไป
  • ไม่มีค่าสถานะคุกกี้บนคุกกี้ที่ปราศจากความปลอดภัย
  • ปัญหาที่ต้องเข้าถึงคอมพิวเตอร์ของเหยื่อ
  • ไม่มีส่วนหัวความปลอดภัยที่ไม่มีช่องโหว่ด้านความปลอดภัยในทันที
  • ปัญหาการฉ้อโกง
  • คําแนะนําเกี่ยวกับการเพิ่มประสิทธิภาพความปลอดภัย
  • รายงานการสแกน SSL / TLS (หมายถึงเอาต์พุตจากไซต์เช่น SSL Labs)
  • ปัญหาการคว้าแบนเนอร์ (ค้นหาว่าเราใช้เว็บเซิร์ฟเวอร์อะไร ฯลฯ )
  • เปิดพอร์ตโดยไม่มี POC ที่แสดงให้เห็นถึงช่องโหว่
  • ช่องโหว่ที่เปิดเผยเมื่อเร็วๆ นี้ เราต้องการเวลาแก้ไขระบบของเราเช่นเดียวกับคนอื่น ๆ - โปรดให้เราสองสัปดาห์ก่อนที่จะรายงานปัญหาประเภทนี้

รางวัล

รางวัล Bug Bounty จะจ่ายในรูปแบบของบัตรของขวัญยอดนิยม มูลค่าของบัตรของขวัญจะขึ้นอยู่กับความรุนแรงและคุณภาพของข้อบกพร่องดังนี้:

ความรุนแรงของบั๊ก
มูลค่ารางวัล
สูง
INR 5,000
ปานกลาง
INR 2,500
ต่ํา
INR 1,000

โน้ต

การตัดสินใจขั้นสุดท้ายเกี่ยวกับการมีสิทธิ์ข้อผิดพลาดและรางวัลจะทําโดย Xoxoday โปรแกรมมีอยู่อย่างสมบูรณ์ตามดุลยพินิจของ บริษัท และมีข้อกําหนดที่จะยกเลิกได้ตลอดเวลา

เจอบั๊กแล้วเหรอ?

ติดต่อเราเพื่อระดมทุนหากคุณสังเกตเห็นปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นในขณะที่เป็นไปตามเกณฑ์ที่จําเป็นทั้งหมดในนโยบายของเรา

รายงาน
Xoxoday creates products to accelerate reciprocal growth with customers, employees, and sales team.
สําหรับพนักงาน
สําหรับพันธมิตรด้านการขายและช่องทางการขาย
เปลี่ยนภูมิภาค
ฝ่ายขาย (สหรัฐอเมริกา): +1 429 949 9932
A - Xoxoday, 303 ทวินดอลฟินไดรฟ์, FL 600 #80, เรดวูดซิตี้, แคลิฟอร์เนีย 94065, สหรัฐอเมริกา