Политика ответственного раскрытия уязвимостей XBaza Social Network

Мы ценим вклад исследователей безопасности и приветствуем ответственное сообщение об уязвимостях в нашей профессиональной социальной сети и мобильном приложении XBaza (iOS/Android). Пожалуйста, ознакомьтесь с правилами ниже перед отправкой отчёта.

Разрешённые действия

  • Тестировать уязвимости в официальных каналах XBaza:
    • xbaza.by
    • xbaza.by/api
    • admin.xbaza.by
    • Официальное мобильное приложение XBaza (iOS/Android) и его API-взаимодействие с xbaza.by/api
  • Использовать автоматизированные сканеры (с ограничениями)
  • Проводить ручное тестирование на наличие уязвимостей, таких как:
    • SQL-инъекции (SQLi)
    • XSS, CSRF
    • Неправильные настройки CORS
    • Утечки данных
    • Проблемы аутентификации
    • Уязвимости в социальных функциях

Запрещённые действия

  • Проводить DoS/DDoS-атаки
  • Использовать социальную инженерию или фишинг
  • Эксплуатировать уязвимости для кражи данных пользователей
  • Нарушать работу сервисов (спам, флуд)
  • Тестировать на производственных данных пользователей
  • Попытки получить доступ к административным функциям

Как сообщить об уязвимости

  1. Отправьте отчёт на support@xbaza.by или в Telegram https://t.me/webminsk
  2. Включите:
    • Описание уязвимости
    • Шаги для воспроизведения
    • Скриншоты или видео (если возможно)
    • Потенциальное воздействие на пользователей
  3. Мы ответим в течение 5 рабочих дней

Гарантии

  • Мы не будем подавать в суд за добросовестное тестирование
  • Рассматриваем все отчёты, но не гарантируем выплаты (это не программа багбаунти)
  • Ваша конфиденциальность будет защищена
  • Мы не будем раскрывать информацию о вас без вашего согласия

Благодарности

Исследователи, обнаружившие критические уязвимости, будут упомянуты на странице Hall of Fame (если не пожелают остаться анонимными).

Дата последнего обновления: 27.03.2026