Политика ответственного раскрытия уязвимостей XBaza Social Network
Мы ценим вклад исследователей безопасности и приветствуем ответственное сообщение об уязвимостях в нашей профессиональной социальной сети и мобильном приложении XBaza (iOS/Android). Пожалуйста, ознакомьтесь с правилами ниже перед отправкой отчёта.
Разрешённые действия
- Тестировать уязвимости в официальных каналах XBaza:
- xbaza.by
- xbaza.by/api
- admin.xbaza.by
- Официальное мобильное приложение XBaza (iOS/Android) и его API-взаимодействие с xbaza.by/api
- Использовать автоматизированные сканеры (с ограничениями)
- Проводить ручное тестирование на наличие уязвимостей, таких как:
- SQL-инъекции (SQLi)
- XSS, CSRF
- Неправильные настройки CORS
- Утечки данных
- Проблемы аутентификации
- Уязвимости в социальных функциях
Запрещённые действия
- Проводить DoS/DDoS-атаки
- Использовать социальную инженерию или фишинг
- Эксплуатировать уязвимости для кражи данных пользователей
- Нарушать работу сервисов (спам, флуд)
- Тестировать на производственных данных пользователей
- Попытки получить доступ к административным функциям
Как сообщить об уязвимости
- Отправьте отчёт на support@xbaza.by или в Telegram https://t.me/webminsk
- Включите:
- Описание уязвимости
- Шаги для воспроизведения
- Скриншоты или видео (если возможно)
- Потенциальное воздействие на пользователей
- Мы ответим в течение 5 рабочих дней
Гарантии
- Мы не будем подавать в суд за добросовестное тестирование
- Рассматриваем все отчёты, но не гарантируем выплаты (это не программа багбаунти)
- Ваша конфиденциальность будет защищена
- Мы не будем раскрывать информацию о вас без вашего согласия
Благодарности
Исследователи, обнаружившие критические уязвимости, будут упомянуты на странице Hall of Fame (если не пожелают остаться анонимными).
Дата последнего обновления: 27.03.2026