Mit der Übermittlung einer Bug-Meldung erklärst du dich mit den [Richtlinien des Bounty Program von Xsolla](https://help.xsolla.com/en/xsolla-bounty-program-terms-and-conditions) einverstanden. Diese untersagen die öffentliche oder nicht öffentliche Offenlegung von Schwachstellen oder Bugs im Zusammenhang mit Xsolla.

Mit der Teilnahme an diesem Programm erklärst du dich mit den oben genannten Regeln und Bedingungen einverstanden. Alle Regeln sind einzuhalten, damit die Belohnung ausgezahlt werden kann.


BERICHTSEIN&shy;REICHUNG

Regeln

#### EINGESCHLOSSEN
Das Programm ist auf die Web- und mobile Versionen der Xsolla-Website beschränkt. Unsere Profile auf Facebook, Twitter, LinkedIn, Reddit usw. sowie die Websites unserer Partner sind davon ausgenommen.

Prämienberechtigt:

*.xsolla.com (accelerator.xsolla.com Ausgeschlossen)

80.lv

story3.com

golightstream.com (rainmaker.gg Ausgeschlossen)

api.stream


##### PRÄMIENBERECHTIGTE SCHWACHSTELLEN

| SCHWACHSTELLE |  SCHWEREGRAD |
|----------|------------------|
| Ausführen von Code aus der Ferne | Kritisch  |
| SQL-Injektion    | Hoch – Kritisch |
|  XXE   | Hoch – Kritisch  |
|  Gespeichertes XSS      | Mittel – Hoch            |
| Serverseitige Request-Forgery | Hoch – Kritisch  |
| Directory Traversal: Einbindung lokaler Dateien     | Hoch             |
| Umgehung der Authentifizierung/Autorisierung (defekte Zugriffskontrolle)  | Mittel – Hoch           |
| Unsichere direkte Objektreferenzen (IDOR) | Mittel – Hoch  |
| Reflektiertes Cross-Site-Scripting    | Mittel             |
|  Fehlkonfiguration   | Gering – Hoch          |
| Webcache-Täuschung      | Gering – Mittel            |
| CORS-Fehlkonfiguration | Gering – Mittel  |
| CRLF-Injektion     | Gering – Mittel         |
| Cross-Site-Request-Forgery   | Gering – Mittel           |
| Offene Weiterleitung    | Gering – Mittel           |
| Offenlegung von Informationen     | Gering – Mittel           |
| Rechteausweitung     | Mittel – Hoch           |

 Eingeschlossen

#### TEILNAHMEREGELN

Am Seitenende kannst du ein Formular [Link](#form) samt detailliertem Bericht absenden. Dieser Bericht sollte verständliche Informationen über die Sicherheitsprobleme und deren Auswirkungen enthalten. Berichte ohne reproduzierbaren Nachweis werden als "Informativ" eingestuft und geschlossen.

Dein Bericht sollte möglichst viele der folgenden Punkte enthalten:
- Link zu der Seite, auf der der Fehler oder die betroffenen Produkte/Websites zu finden sind (falls zutreffend)
- Fehlertyp
- Schritt-für-Schritt-Anleitung für die Reproduktion und Validierung des Fehlers
- Auswirkungen (weshalb handelt es sich deiner Meinung nach um einen Fehler und welche Probleme oder Schäden werden dadurch verursacht)
- Empfehlungen zur Behebung/Verbesserung

Beachte folgendes beim Senden des Berichts:
- Unterlasse Post-Exploitation-Versuche wie etwa die Modifikation oder Zerstörung von Daten und die Störung oder Beeinträchtigung von Xsolla-Diensten.
- Unterlasse Brute-Force-Angriffe, Denial-of-Service-Angriffe, Kompromittierungen oder Tests von fremden Xsolla-Konten, die dir nicht gehören.
- Unterlasse Angriffe auf Xsolla-Angestellte oder ‑Kunden, einschließlich Social-Engineering-Angriffe, Phishing-Angriffe oder physische Angriffe.
- Unterlasse physische Angriffe gegen Xsolla-Einrichtungen.

Verwende beim Testen den User-Agent-String xsolla-bugbounty-%your-email-before@%

Die eingeschränkte Nutzung von automatischen Scannern/Tools ist unter Anwendung des obigen User-Agents zulässig. Die Scanner/Tools müssen so konfiguriert sein, dass sie nicht mehr als 15 Anfragen pro Sekunde an einen bestimmten Dienst senden.

Der Einsatz von Scanning-Tools ohne den obigen User-Agent-String kann dazu führen, dass dein Konto bzw. deine IP wegen automatischer Schutzmaßnahmen gesperrt wird. Es kann einige Zeit dauern, den Zugang wiederherzustellen, achte daher darauf, den obigen String anzugeben.

Nach dem Absenden bestätigen wir den Erhalt deines Berichts automatisch und bitten dich gegebenenfalls um weitere Informationen. Dazu treten wir per E-Mail in Kontakt, sofern erforderlich.
Wir prüfen die Informationen und versuchen, den gemeldeten Fehler zu reproduzieren. Falls sich der Fehler bestätigt, benachrichtigen wir dich.


Teilnahmeregeln

#### RICHTLINIE FÜR DIE VERANTWORTUNGSVOLLE OFFENLEGUNG 
Schwachstellen für andere Zwecke als die tatsächliche Behebung des Bugs offenzulegen, widerspricht unserer Ansicht nach der Grundidee des Programms. Unabhängig davon, ob eine Schwachstelle als  [im Geltungsbereich](https://help.xsolla.com/en/rules/in-scope) aufgeführt ist oder auf [legitimen Websites](https://help.xsolla.com/en/rules/in-scope) oder anderen Xsolla-Websites entdeckt wird, verpflichten sich die Teilnehmenden, identifizierte Schwachstellen ausschließlich über das in den [Teilnahmebedingungen](https://help.xsolla.com/en/rules/rules-of-engagement) angegebene Formular zu melden und diese Schwachstellen nicht gegenüber Dritten offenzulegen

Wir bemühen uns, jede Meldung so schnell wie möglich zu bearbeiten und gegebenenfalls eine Prämie auszuzahlen.

Nutzerkonten zu hacken, Datenbanken zu beschädigen oder sensible Daten weiterzugeben, ist untersagt. Wir raten außerdem von Tests ab, die die Servicequalität für unsere Nutzer beeinträchtigen.

Richtlinie für die verantwortungsvolle Offenlegung 

#### ZAHLUNGEN
Du kannst dir die Gelder auf dein PayPal-Konto überweisen lassen. Dazu musst du bestätigen, dass das angegebene PayPal-Konto dein persönliches Konto ist.

Ebenso ist es möglich, den Betrag als Guthaben für eines der Spiele zu erhalten, die Xsolla vertreibt. Teile uns dazu bitte deinen Nickname bzw. deine E-Mail-Adresse mit, der bzw. die mit deinem Konto verbunden ist.


Zahlungen 

#### AUSGESCHLOSSEN
- Best Practices für die Sicherheit, also Security-Header usw
- Social Engineering, Phishing
- Physische Angriffe
- Fehlende Cookie-Hinweise
- CSRF mit minimalen Auswirkungen, d. h. Login-CSRF, Logout-CSRF usw
- Content-Spoofing
- Stacktraces, Pfadoffenlegung, Verzeichnisauflistungen
- Best Practices zu SSL/TLS
- Banner Grabbing
- CSV-Injektion
- Reflected-File-Download
- Meldungen zu veralteten Browsern
- DOS/DDOS (auch ohne Ratenbegrenzungen und Beschränkungen der Dateigröße)
- Host-Header-Injektion ohne erkennbare Auswirkung
- Scanner-Outputs
- Schwachstellen in Drittanbieterprodukten
- Brute-Force-Methoden (User Enumeration)
- Passwortkomplexität
- HTTP-Method "Trace"
- Probleme in der von Xsolla verwendeten Software von Drittanbietern
- Clickjacking
- Self XSS 
- E-Mail-Spoofing: Fehlkonfiguration der SPF-Datensätze
- Offene Weiterleitung durch Host-Header-Injection
- Offenlegung privater IP-Adressen

Meldungen zu:

- Abgelehnten oder nicht verarbeiteten Zahlungen.
- nicht genehmigten Erstattungen, oder zu noch nicht auf deinem Konto eingegangen Geldern.
- Zahlungssystemen, die vorübergehend nicht nutzbar sind bzw. in deiner Region/bei deinem Mobilfunkanbieter nicht verfügbar sind.
- nicht erhaltenen Käufen oder damit verbundenen Boni.
- Problemen im Zusammenhang mit planmäßigen oder außerplanmäßigen Downtimes, Verbindungsproblemen usw.
- Fehlern in unseren Profilen auf Facebook, Twitter, LinkedIn, Reddit usw. und auf den Websites unserer Partner.


Bei solchen und anderen zahlungsbezogenen Fragen kannst du dich rund um die Uhr an unseren Kundendienst wenden: help.xsolla.com.

Ausgeschlossen

#### BELOHNUNGEN
Unsere Belohnungen richten sich nach dem Schweregrad der Sicherheitslücke. Zur Bewertung des Schweregrads verwenden wir das CVSS 3.1 (Common Vulnerability Scoring System).

Für besondere, schwer zu findende Bugs oder umfangreiche Meldungen zahlen wir mitunter eine höhere Vergütung. Für Bugs, bei denen komplexe Voraussetzungen erfüllt sein müssen und daher das Exploitation-Risiko niedrig ist, fällt die Vergütung mitunter geringer aus.

Beachte, dass Xsolla im eigenen Ermessen über die Belohnung entscheidet. Aufgrund von kompensierenden Sicherheitsmaßnahmen und dem Kontext kann Xsolla das Problem als weniger schwerwiegend einschätzen

Die in der Tabelle angegebenen Beträge sind HÖCHSTBETRÄGE für jeden Schweregrad, wobei Xsolla nach eigenem Ermessen Bonuszahlungen gewähren kann.

| SCHWEREGRAD |  BETRAG (USD) |
|----------|------------------|
| Kritisch | $1,000 - $2,000  |
| Hoch     | $800             |
| Mittel   | $500             |
| Gering      | $100             |


Werden Bugs mehrmals gemeldet, prämieren wir die erste Meldung, die wir vollständig reproduzieren können.

Lassen sich mehrere gemeldete Schwachstellen auf ein einziges zugrunde liegendes Problem zurückführen, wird nur eine einzige Prämie ausgezahlt – und zwar an die Person, die das Problem zuerst gemeldet hat. In einigen Fällen kann es jedoch länger dauern, den Schwachstellen-Schweregrad zu bestimmen, weshalb die Prämie möglicherweise zu einem späteren Zeitpunkt ausgezahlt wird

Im Rahmen der Bug-Analyse darfst du nur deine eigenen Konten verwenden. Die Interaktion mit anderen Konten sowie Aktionen, die anderen Nutzern schaden oder deren Privatsphäre verletzen könnten, sind verboten. 

Alle Regeln sind einzuhalten, damit die Belohnung ausgezahlt werden kann.


Prämien

In deinem Konto bei kannst du den Support per Chat kontaktieren, um schnell Hilfe zu erhalten.

SCHWACHSTELLE	SCHWEREGRAD
Ausführen von Code aus der Ferne	Kritisch
SQL-Injektion	Hoch – Kritisch
XXE	Hoch – Kritisch
Gespeichertes XSS	Mittel – Hoch
Serverseitige Request-Forgery	Hoch – Kritisch
Directory Traversal: Einbindung lokaler Dateien	Hoch
Umgehung der Authentifizierung/Autorisierung (defekte Zugriffskontrolle)	Mittel – Hoch
Unsichere direkte Objektreferenzen (IDOR)	Mittel – Hoch
Reflektiertes Cross-Site-Scripting	Mittel
Fehlkonfiguration	Gering – Hoch
Webcache-Täuschung	Gering – Mittel
CORS-Fehlkonfiguration	Gering – Mittel
CRLF-Injektion	Gering – Mittel
Cross-Site-Request-Forgery	Gering – Mittel
Offene Weiterleitung	Gering – Mittel
Offenlegung von Informationen	Gering – Mittel
Rechteausweitung	Mittel – Hoch