Xoxoday Bug Bounty Program

At Xoxoday, we understand that the protection of consumer data is a high priority and extremely significant responsibility that requires constant monitoring. We deeply value all those in the security community that help us in ensuring 100% security of all our systems at all times.

We believe that responsible disclosure of security vulnerabilities help us in maintaining the utmost security & privacy of all our users, and we invite security researchers to report any security vulnerability that they may come across in our products. Those submitting any bugs within the scope of our program, will be heartily rewarded for their support & security expertise.

Cómo funciona

  1. Reach out to us at [email protected] to raise a ticket, if you happen to notice any potential security issue whilst meeting all the required criteria in our policy.
  2. Nuestro equipo de seguridad validará el problema notificado en términos de gravedad y autenticidad en unos 90 días.
  3. Tras la validación, se tomarán medidas para solucionar los problemas de seguridad de acuerdo con nuestras políticas de seguridad.
  4. El propietario del billete será informado una vez que se haya resuelto el problema.

Elegibilidad

Para poder optar a una recompensa, debe cumplir los siguientes requisitos:

  1. You must be the first person to report a vulnerability to Xoxoday.
  2. El problema debe afectar a cualquiera de las aplicaciones enumeradas en nuestro ámbito de aplicación definido.
  3. La emisión debe corresponder a los bichos "calificados" de la lista.
  4. No se permite la publicación de información sobre vulnerabilidad en el dominio público.
  5. Toda la información sobre el problema de vulnerabilidad debe ser confidencial hasta que se resuelva el problema.
  6. No privacy policies set by Xoxoday must be violated when performing security testing.
  7. Queda totalmente prohibida la modificación o eliminación de datos de usuarios no autentificados, la interrupción de los servidores de producción o cualquier forma de degradación de la experiencia del usuario.

Violation of any of these rules can result in ineligibility or removal from the Xoxoday bug bounty program

Directrices

  1. Use only the identified channel [email protected] to report any security vulnerability.
  2. Al elevar el ticket, asegúrese de que se menciona claramente la descripción y el impacto potencial de la vulnerabilidad.
  3. También deben incluirse instrucciones detalladas sobre los pasos a seguir para reproducir la vulnerabilidad.
  4. Debe adjuntarse obligatoriamente un video POC completo que muestre todos los pasos e información.
  5. A continuación se mencionan los detalles sobre el alcance y los criterios de cualificación.

Alcance

  1. Website: Xoxoday Store
  2. Out-of-Scope websites: Staging subdomains, any other subdomain which is not connected to xoxoday.com

Vulnerabilidades calificadas

Cualquier problema de diseño o implementación que afecte sustancialmente a la confidencialidad o integridad de los datos del usuario es probable que esté en el ámbito del programa. Algunos ejemplos comunes son:

  • Secuencia de comandos en sitios cruzados (XSS)
  • Falsificación de solicitudes en sitios cruzados (CSRF)
  • Falsificación de solicitudes del lado del servidor (SSRF)
  • Inyección SQL
  • Ejecución remota de código del lado del servidor (RCE)
  • Ataques a entidades externas XML (XXE)
  • Problemas de control de acceso (problemas de referencias directas a objetos inseguros, escalada de privilegios, etc.)
  • Paneles administrativos expuestos que no requieren credenciales de acceso
  • Problemas de cruce de directorios
  • Divulgación local de archivos (LFD) e inclusión remota de archivos (RFI)
  • Manipulación de pagos
  • Errores de ejecución de código del lado del servidor

Vulnerabilidades no calificadas

  • Redirecciones abiertas: El 99% de las redirecciones abiertas tienen un bajo impacto en la seguridad. Para los raros casos en los que el impacto es mayor, por ejemplo, el robo de tokens de oauth, todavía queremos oír hablar de ellos
  • Informes que afirman que el software está desactualizado/es vulnerable sin una "Prueba de Concepto
  • Cuestiones de cabecera del host sin un POC que demuestre la vulnerabilidad
  • Problemas de XSS que sólo afectan a los navegadores obsoletos
  • Rastros de pila que revelan información
  • Clickjacking y problemas que sólo se pueden explotar mediante clickjacking
  • Inyección de CSV. Consulte este artículo: Inyección de fórmulas CSV | Google
  • Preocupación por las mejores prácticas
  • Informes muy especulativos sobre daños teóricos. Sea concreto
  • Auto-XSS que no puede ser utilizado para explotar a otros usuarios
  • Vulnerabilidades notificadas por herramientas automatizadas sin un análisis adicional sobre su naturaleza.
  • Informes de escáneres automáticos de vulnerabilidad web (Acunetix, Burp Suite, Vega, etc.) que no han sido validados
  • Ataques de denegación de servicio
  • Ataques de fuerza bruta
  • Descarga de archivos reflejados (RFD)
  • Physical or social engineering attempts (this includes phishing attacks against Xoxoday employees)
  • Problemas de inyección de contenidos
  • Falsificación de petición en sitios cruzados (CSRF) con mínimas implicaciones de seguridad (CSRF de cierre de sesión, etc.)
  • Faltan atributos de autocompletar
  • Falta de indicadores de cookies en las cookies no sensibles a la seguridad
  • Cuestiones que requieren acceso físico al ordenador de la víctima
  • Falta de cabeceras de seguridad que no presentan una vulnerabilidad de seguridad inmediata.
  • Cuestiones de fraude
  • Recomendaciones sobre la mejora de la seguridad
  • Informes de escaneo SSL/TLS (es decir, los resultados de sitios como SSL Labs)
  • Cuestiones relacionadas con la captura de banners (averiguar qué servidor web utilizamos, etc.)
  • Puertos abiertos sin un POC que demuestre la vulnerabilidad
  • Vulnerabilidades reveladas recientemente. Necesitamos tiempo para parchear nuestros sistemas como todo el mundo - por favor, danos dos semanas antes de informar de este tipo de problemas

Recompensa

Las recompensas de las Bug Bounty se pagarán en forma de tarjetas de regalo populares. El valor de la tarjeta regalo dependerá de la gravedad y la calidad del fallo, como se indica a continuación:

Gravedad de los errores
Valor de la recompensa
Alto
INR 5,000
Medio
INR 2,500
Bajo
INR 1,000

Nota

The final decision on bug eligibility and rewarding will be made by Xoxoday. The program exists completely at the firm’s discretion and has the provision to be canceled at any time.

¿Ha encontrado un error?

Póngase en contacto con nosotros para enviar un billete, si observa algún problema de seguridad potencial y cumple con todos los criterios requeridos en nuestra política.

INFORME