Durch das Einreichen eines Fehlerberichts erklären Sie sich damit einverstanden, die [Richtlinie des Xsolla-Bounty-Programms](/de/xsolla-bounty-program-terms-and-conditions) einzuhalten, die die öffentliche oder private Bekanntgabe der Details einer Schwachstelle oder eines Fehlers auf Xsolla vor Ablauf von 30 Tagen nach Behebung des Fehlers verbietet.

Mit der Teilnahme an diesem Programm verpflichten Sie sich, die oben genannten Regeln und Bedingungen einzuhalten. Alle Regeln müssen befolgt werden, um für Belohnungen in Frage zu kommen.

BERICHTSEIN&shy;REICHUNG

Regeln

#### EINGESCHLOSSEN
Das Programm ist auf die Web- und mobile Versionen der Xsolla-Website beschränkt. Unsere Profile auf Facebook, Twitter, LinkedIn, Reddit usw. sowie die Websites unserer Partner sind davon ausgenommen.

Prämienberechtigt:

*.xsolla.com

80.lv

story3.com



##### PRÄMIENBERECHTIGTE SCHWACHSTELLEN

| SCHWACHSTELLE |  SCHWEREGRAD |
|----------|------------------|
| Ausführen von Code aus der Ferne | Kritisch  |
| SQL-Injektion    | Hoch – Kritisch |
|  XXE   | Hoch – Kritisch  |
|  Gespeichertes XSS      | Mittel – Hoch            |
| Serverseitige Request-Forgery | Hoch – Kritisch  |
| Directory Traversal: Einbindung lokaler Dateien     | Hoch             |
| Umgehung der Authentifizierung/Autorisierung (defekte Zugriffskontrolle)  | Mittel – Hoch           |
| Rechteausweitung      | Mittel – Hoch       |
| Unsichere direkte Objektreferenzen (IDOR) | Mittel – Hoch  |
| Reflektiertes Cross-Site-Scripting    | Mittel             |
|  Fehlkonfiguration   | Gering – Hoch          |
| Webcache-Täuschung      | Gering – Mittel            |
| CORS-Fehlkonfiguration | Gering – Mittel  |
| CRLF-Injektion     | Gering – Mittel         |
| Cross-Site-Request-Forgery   | Gering – Mittel           |
| Offene Weiterleitung    | Gering – Mittel           |
| Offenlegung von Informationen     | Gering – Mittel           |

 Eingeschlossen

#### TEILNAHMEREGELN

Am Seitenende kannst du ein Formular [Link](#form) samt detailliertem Bericht absenden. Dieser Bericht sollte verständliche Informationen über die Sicherheitsprobleme und deren Auswirkungen enthalten. Berichte ohne reproduzierbaren Nachweis werden als "Informativ" eingestuft und geschlossen.

Dein Bericht sollte möglichst viele der folgenden Punkte enthalten:
- Link zu der Seite, auf der der Fehler oder die betroffenen Produkte/Websites zu finden sind (falls zutreffend)
- Fehlertyp
- Schritt-für-Schritt-Anleitung für die Reproduktion und Validierung des Fehlers
- Auswirkungen (weshalb handelt es sich deiner Meinung nach um einen Fehler und welche Probleme oder Schäden werden dadurch verursacht)
- Empfehlungen zur Behebung/Verbesserung

Beachte folgendes beim Senden des Berichts:
- Unterlasse Post-Exploitation-Versuche wie etwa die Modifikation oder Zerstörung von Daten und die Störung oder Beeinträchtigung von Xsolla-Diensten.
- Unterlasse Brute-Force-Angriffe, Denial-of-Service-Angriffe, Kompromittierungen oder Tests von fremden Xsolla-Konten, die dir nicht gehören.
- Unterlasse Angriffe auf Xsolla-Angestellte oder ‑Kunden, einschließlich Social-Engineering-Angriffe, Phishing-Angriffe oder physische Angriffe.
- Unterlasse physische Angriffe gegen Xsolla-Einrichtungen.

Verwende beim Testen den User-Agent-String xsolla-bugbounty-%your-email-before@%

Die eingeschränkte Nutzung von automatischen Scannern/Tools ist unter Anwendung des obigen User-Agents zulässig. Die Scanner/Tools müssen so konfiguriert sein, dass sie nicht mehr als 15 Anfragen pro Sekunde an einen bestimmten Dienst senden.

Der Einsatz von Scanning-Tools ohne den obigen User-Agent-String kann dazu führen, dass dein Konto bzw. deine IP wegen automatischer Schutzmaßnahmen gesperrt wird. Es kann einige Zeit dauern, den Zugang wiederherzustellen, achte daher darauf, den obigen String anzugeben.

Nach dem Absenden bestätigen wir den Erhalt deines Berichts automatisch und bitten dich gegebenenfalls um weitere Informationen. Dazu treten wir per E-Mail in Kontakt, sofern erforderlich.
Wir prüfen die Informationen und versuchen, den gemeldeten Fehler zu reproduzieren. Falls sich der Fehler bestätigt, benachrichtigen wir dich.


Teilnahmeregeln

#### RICHTLINIE FÜR DIE VERANTWORTUNGSVOLLE OFFENLEGUNG 
Unserer Meinung nach widerspricht es dem Grundgedanken dieses Programms, den Fehler zu anderen Zwecken als der tatsächlichen Behebung offenzulegen. Die Teilnehmenden verpflichten sich, gefundene Fehler erst 30 Tage nach deren Behebung zu veröffentlichen und die Bekanntgabe mit unserem Team per E-Mail zu koordinieren, um Missverständnisse zu vermeiden.

Wir geben unser Bestes, so schnell wie möglich auf deine Meldung zu antworten und dich über die Behebung des Problems auf dem Laufenden zu halten. Gegebenenfalls zahlen wir eine Prämie.

Wir bitten dich, keine Benutzerkonten zu hacken, Datenbanken zu beschädigen oder vertrauliche Daten weiterzugeben. Zudem raten wir von Tests ab, die die Qualität der Dienste für unsere Nutzer verschlechtern.

Richtlinie für die verantwortungsvolle Offenlegung 

#### ZAHLUNGEN
Du kannst dir die Gelder auf dein PayPal-Konto überweisen lassen. Dazu musst du bestätigen, dass das angegebene PayPal-Konto dein persönliches Konto ist.

Ebenso ist es möglich, den Betrag als Guthaben für eines der Spiele zu erhalten, die Xsolla vertreibt. Teile uns dazu bitte deinen Nickname bzw. deine E-Mail-Adresse mit, der bzw. die mit deinem Konto verbunden ist.


Zahlungen 

#### AUSGESCHLOSSEN
- Best Practices für die Sicherheit, also Security-Header usw
- Social Engineering, Phishing
- Physische Angriffe
- Fehlende Cookie-Hinweise
- CSRF mit minimalen Auswirkungen, d. h. Login-CSRF, Logout-CSRF usw
- Content-Spoofing
- Stacktraces, Pfadoffenlegung, Verzeichnisauflistungen
- Best Practices zu SSL/TLS
- Banner Grabbing
- CSV-Injektion
- Reflected-File-Download
- Meldungen zu veralteten Browsern
- DOS/DDOS (auch ohne Ratenbegrenzungen und Beschränkungen der Dateigröße)
- Host-Header-Injektion ohne erkennbare Auswirkung
- Scanner-Outputs
- Schwachstellen in Drittanbieterprodukten
- Brute-Force-Methoden (User Enumeration)
- Passwortkomplexität
- HTTP-Method "Trace"
- Probleme in der von Xsolla verwendeten Software von Drittanbietern
- Clickjacking
- Self XSS 
- E-Mail-Spoofing: Fehlkonfiguration der SPF-Datensätze

Meldungen zu:

- Abgelehnten oder nicht verarbeiteten Zahlungen.
- nicht genehmigten Erstattungen, oder zu noch nicht auf deinem Konto eingegangen Geldern.
- Zahlungssystemen, die vorübergehend nicht nutzbar sind bzw. in deiner Region/bei deinem Mobilfunkanbieter nicht verfügbar sind.
- nicht erhaltenen Käufen oder damit verbundenen Boni.
- Problemen im Zusammenhang mit planmäßigen oder außerplanmäßigen Downtimes, Verbindungsproblemen usw.
- Fehlern in unseren Profilen auf Facebook, Twitter, LinkedIn, Reddit usw. und auf den Websites unserer Partner.


Bei solchen und anderen zahlungsbezogenen Fragen kannst du dich rund um die Uhr an unseren Kundendienst wenden: help.xsolla.com.

Ausgeschlossen

#### PRÄMIEN
Unsere Prämien basieren auf dem Schweregrad einer Schwachstelle. Wir verwenden CVSS 3.1 (Common Vulnerability Scoring Standard) zur Ermittlung des Schweregrads.

Wir zahlen möglicherweise mehr für einzigartige, schwer zu findende Bugs/Fehler oder für qualitativ hochwertige Berichte; ebenso zahlen wir mitunter weniger für Bugs/Fehler, bei denen komplexe Voraussetzungen erfüllt sein müssen und deswegen die Ausnutzung des Risikos weniger wahrscheinlich ist.

Beachte jedoch, dass die Entscheidung über die Prämie im Ermessen Xsollas liegt. Probleme können aufgrund von vorhandenen kompensierenden Kontrollen und des Kontextes als weniger schwerfällig eingestuft werden.

Die in der Tabelle angegebenen Beträge für den jeweiligen Schweregrad sind als MAXIMALE Beträge zu verstehen, wenngleich nach dem Ermessen von Xsolla Boni gezahlt werden können.

| SCHWEREGRAD |  BETRAG (USD) |
|----------|------------------|
| Kritisch | $1,000 - $2,000  |
| Hoch     | $800             |
| Mittel   | $500             |
| Gering      | $100             |


$100
Bei mehrfacher Meldung desselben Problems, belohnen wir die erste Meldung, die wir vollständig reproduzieren können.

Bei mehreren Schwachstellen, die durch dasselbe Problem verursacht werden, wird eine einzige Prämie ausgezahlt. Wir zahlen die Prämie zum Zeitpunkt der Validierung aus, und halten dich über die Behebung der Schwachstelle auf dem Laufenden. Mitunter kann es jedoch länger dauern, den Schweregrad der Schwachstelle zu ermitteln, woraufhin sich auch die Auszahlung der Prämie verzögern kann.

Führe Tests nur mit deinem eigenen Konto durch, wenn du Bugs/Fehler untersuchst, und interagiere nicht mit den Konten anderer ohne die Zustimmung des jeweiligen Kontoinhabers.


Prämien

In deinem Konto bei kannst du den Support per Chat kontaktieren, um schnell Hilfe zu erhalten.

SCHWACHSTELLE	SCHWEREGRAD
Ausführen von Code aus der Ferne	Kritisch
SQL-Injektion	Hoch – Kritisch
XXE	Hoch – Kritisch
Gespeichertes XSS	Mittel – Hoch
Serverseitige Request-Forgery	Hoch – Kritisch
Directory Traversal: Einbindung lokaler Dateien	Hoch
Umgehung der Authentifizierung/Autorisierung (defekte Zugriffskontrolle)	Mittel – Hoch
Rechteausweitung	Mittel – Hoch
Unsichere direkte Objektreferenzen (IDOR)	Mittel – Hoch
Reflektiertes Cross-Site-Scripting	Mittel
Fehlkonfiguration	Gering – Hoch
Webcache-Täuschung	Gering – Mittel
CORS-Fehlkonfiguration	Gering – Mittel
CRLF-Injektion	Gering – Mittel
Cross-Site-Request-Forgery	Gering – Mittel
Offene Weiterleitung	Gering – Mittel
Offenlegung von Informationen	Gering – Mittel