Xoxoday Bug Bounty Program

At Xoxoday, we understand that the protection of consumer data is a high priority and extremely significant responsibility that requires constant monitoring. We deeply value all those in the security community that help us in ensuring 100% security of all our systems at all times.

We believe that responsible disclosure of security vulnerabilities help us in maintaining the utmost security & privacy of all our users, and we invite security researchers to report any security vulnerability that they may come across in our products. Those submitting any bugs within the scope of our program, will be heartily rewarded for their support & security expertise.

Hoe het werkt

  1. Reach out to us at [email protected] to raise a ticket, if you happen to notice any potential security issue whilst meeting all the required criteria in our policy.
  2. De validatie van het gerapporteerde probleem in termen van ernst en authenticiteit zal worden gedaan door ons beveiligingsteam in ongeveer 90 dagen.
  3. Na validatie worden er stappen ondernomen om de beveiligingsproblemen op te lossen in overeenstemming met ons beveiligingsbeleid.
  4. De eigenaar van het ticket wordt geïnformeerd zodra het probleem is opgelost.

Geschiktheid

Om in aanmerking te komen voor een beloning moet je aan de volgende voorwaarden voldoen:

  1. You must be the first person to report a vulnerability to Xoxoday.
  2. Het probleem moet invloed hebben op een van de toepassingen die zijn opgenomen in ons gedefinieerde toepassingsgebied.
  3. De kwestie moet vallen onder de 'Kwalificerende' bugs die op de lijst staan.
  4. Het publiceren van informatie over kwetsbaarheden in het publieke domein is niet toegestaan.
  5. Alle informatie over het probleem met de kwetsbaarheid moet vertrouwelijk blijven tot het probleem is opgelost.
  6. No privacy policies set by Xoxoday must be violated when performing security testing.
  7. Wijziging of verwijdering van niet-geauthenticeerde gebruikersgegevens, verstoring van productieservers of enige vorm van verslechtering van de gebruikerservaring is volledig verboden.

Violation of any of these rules can result in ineligibility or removal from the Xoxoday bug bounty program

Richtlijnen

  1. Use only the identified channel [email protected] to report any security vulnerability.
  2. Zorg er bij het aanmaken van het ticket voor dat de beschrijving en de mogelijke impact van de kwetsbaarheid duidelijk worden vermeld.
  3. Er moeten ook gedetailleerde instructies worden opgenomen over de stappen die moeten worden gevolgd om de kwetsbaarheid te reproduceren.
  4. Een volledige Video POC moet verplicht worden bijgevoegd met alle stappen en informatie.
  5. Details over de reikwijdte en de kwalificatiecriteria staan hieronder vermeld.

Toepassingsgebied

  1. Website: Xoxoday Store
  2. Out-of-Scope websites: Staging subdomains, any other subdomain which is not connected to xoxoday.com

Kwalificerende kwetsbaarheden

Elk ontwerp- of implementatieprobleem dat de vertrouwelijkheid of integriteit van gebruikersgegevens aanzienlijk beïnvloedt, valt waarschijnlijk binnen het bereik van het programma. Bekende voorbeelden zijn:

  • Cross-site scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • SSRF (Server-Side Request Forgery)
  • SQL-injectie
  • RCE (Remote Code Execution) aan serverzijde
  • Aanvallen door externe XML-entiteiten (XXE)
  • Toegangscontroleproblemen (onveilige directe objectverwijzing, privilege-escalatie, etc.)
  • Openstaande beheerpanelen waarvoor geen inloggegevens nodig zijn
  • Problemen met directory-traversal
  • Local File Disclosure (LFD) en Remote File Inclusion (RFI)
  • Manipulatie van betalingen
  • Bugs in de uitvoering van server-side code

Niet-kwalificerende kwetsbaarheden

  • Open omleidingen: 99% van de open redirects hebben een lage impact op de beveiliging. In de zeldzame gevallen waar de impact groter is, bijvoorbeeld bij het stelen van oauth tokens, willen we er toch over horen.
  • Rapporten waarin staat dat software verouderd/kwetsbaar is zonder een 'Proof of Concept'.
  • Problemen met hostheaders zonder een bijbehorende POC die de kwetsbaarheid aantoont
  • XSS-problemen die alleen verouderde browsers treffen
  • Stacktraces die informatie vrijgeven
  • Clickjacking en problemen die alleen via clickjacking kunnen worden uitgebuit
  • CSV-injectie. Zie dit artikel: CSV-formule injectie | Google
  • Best practices
  • Zeer speculatieve rapporten over theoretische schade. Wees concreet
  • Zelf-XSS dat niet kan worden gebruikt om andere gebruikers uit te buiten
  • Kwetsbaarheden zoals gerapporteerd door geautomatiseerde tools zonder aanvullende analyse over hoe ze een probleem vormen
  • Rapporten van geautomatiseerde scanners voor webkwetsbaarheden (Acunetix, Burp Suite, Vega, enz.) die niet zijn gevalideerd
  • Denial of Service-aanvallen
  • Brute force aanvallen
  • Gereflecteerde bestandsdownload (RFD)
  • Physical or social engineering attempts (this includes phishing attacks against Xoxoday employees)
  • Problemen met injecteren van inhoud
  • Cross-site Request Forgery (CSRF) met minimale gevolgen voor de beveiliging (CSRF voor afmelden, enz.)
  • Ontbrekende kenmerken voor autoaanvullen
  • Ontbrekende cookie-flags op niet-veiligheidsgevoelige cookies
  • Problemen waarvoor fysieke toegang tot de computer van het slachtoffer nodig is
  • Ontbrekende beveiligingsheaders die geen direct beveiligingslek vormen.
  • Fraude
  • Aanbevelingen voor verbetering van de beveiliging
  • SSL/TLS scanrapporten (dit betekent uitvoer van sites zoals SSL Labs)
  • Banner grabbing problemen (uitzoeken welke webserver we gebruiken, etc.)
  • Poorten openen zonder een bijbehorende POC die de kwetsbaarheid aantoont
  • Onlangs geopenbaarde kwetsbaarheden. We hebben net als iedereen tijd nodig om onze systemen te patchen - geef ons twee weken voordat u dit soort problemen meldt.

Belonen

Bug Bounty beloningen worden uitbetaald in de vorm van populaire cadeaubonnen. De waarde van de cadeaubon hangt af van de ernst en de kwaliteit van de bug, zoals hieronder aangegeven:

Ernst bug
Beloningswaarde
Hoog
INR 5,000
Medium
INR 2,500
Laag
INR 1,000

Opmerking

The final decision on bug eligibility and rewarding will be made by Xoxoday. The program exists completely at the firm’s discretion and has the provision to be canceled at any time.

Bug gevonden?

Neem contact met ons op om een ticket in te dienen als je een potentieel beveiligingsprobleem opmerkt, terwijl je ook voldoet aan alle vereiste criteria in ons beleid.

VERSLAG