En soumettant un rapport de bug, vous acceptez de vous conformer à la [politique du programme Xsolla Bounty](/xsolla-bounty-program-terms-and-conditions), qui interdit toute divulgation publique ou privée des détails de vulnérabilités ou bugs avant 30 jours après leur correction.

Votre participation au programme implique l'acceptation des règles et conditions énoncées. Le respect de ces règles est requis pour être éligible aux récompenses.

ENVOYER UN RAPPORT

Règles

#### CHAMP D'APPLICATION

Le programme couvre uniquement les versions Web et mobile du site de Xsolla. Nos profils sur Facebook, Twitter, LinkedIn, Reddit, etc., et les sites Web de nos partenaires ne sont pas éligibles.

Éligible pour la prime :

*.xsolla.com (sauf accelerator.xsolla.com)

80.lv

story3.com

golightstream.com (sauf rainmaker.gg)

api.stream


##### VULNÉRABILITÉS ÉLIGIBLES

| VULNÉRABILITÉ |  GRAVITÉ |
|----------|------------------|
| Exécution de code à distance | Critique  |
| Injection SQL    | Élevée - Critique |
|  XXE   | Élevée - Critique    |
|  XSS stockée      | Moyenne - Élevée             |
| Falsification de requête côté serveur | Élevée – Critique  |
| Traversée de répertoire – Inclusion de fichiers locaux     | Élevée             |
| Contournement de l'authentification/autorisation (contrôle d'accès défaillant)   | Moyenne - Élevée             |
| Élévation des privilèges      | Moyenne - Élevée             |
|  Référence d'objet directe non sécurisée | Moyenne - Élevée  |
| Script intersite réfléchi     | Moyenne             |
|  Mauvaise configuration   | Faible - Élevée             |
| Tromperie de cache Web      | Faible - Moyenne             |
| Mauvaise configuration CORS | Faible - Moyenne  |
| Injection CRLF    | Faible - Moyenne             |
| Falsification de requête intersite   | Faible - Moyenne             |
| Redirection ouverte      | Faible - Moyenne             |
| Divulgation d'informations     | Faible - Moyenne              |

Champ d'application

#### RÉCOMPENSES

Les récompenses dépendent de la gravité des vulnérabilités, calculée selon le standard CVSS 3.1 (Common Vulnerability Scoring Standard).

Nous offrons plus pour des bugs uniques et difficiles à trouver, ou pour des rapports de haute qualité, et moins pour des bugs avec des conditions préalables complexes réduisant le risque d'exploitation.

Notez, cependant, que les décisions de récompenses sont à la discrétion de Xsolla, et certains bugs peuvent recevoir une gravité moindre en raison de contrôles compensatoires ou du contexte.

Les montants suivants représentent les MAXIMAUX pour chaque niveau de gravité, bien que des bonus puissent être accordés à la discrétion de Xsolla :

| Gravité | Montant (USD) |
|----------|------------------|
| Critique | 1 000 $ – 2 000 $ |
| Élevée | 800 $ |
| Moyenne | 500 $ |
| Faible | 100 $ |

En cas de doublons, seule la première soumission reproductible sera récompensée.

Les vulnérabilités multiples causées par une même source sous-jacente recevront une seule prime. Les récompenses sont versées lors de la validation, mais peuvent prendre plus de temps selon l'analyse de la gravité. Nous vous tiendrons au courant de nos efforts de résolution.

Testez uniquement avec vos propres comptes et n'interagissez pas avec ceux d'autres utilisateurs sans leur consentement.


Récompenses

#### HORS CHAMP D'APPLICATION

- Meilleures pratiques de sécurité (ex. : en-têtes de sécurité) ;
- Ingénierie sociale, hameçonnage ;
- Attaques physiques ;
- Drapeaux de cookies manquants ;
- CSRF à faible impact (ex. : CSRF de connexion/déconnexion) ;
- Usurpation de contenu ;
- Traces de pile, divulgation de chemin, listes de répertoires ;
- Bonnes pratiques SSL/TLS ;
- Banner Grabbing ;
- Injection CSV ;
- Reflected File Download ;
- Navigateurs obsolètes ;
- DOS/DDOS (y compris absence de limites de taux ou de restrictions sur la taille des fichiers) ;
- Injection d'en-tête hôte sans impact démontrable ;
- Résultats d'outils d'analyse ;
- Vulnérabilités de produits tiers ;
- Énumération d'utilisateurs ;
- Complexité des mots de passe ;
- Méthode HTTP Trace ;
- Problèmes dans des logiciels tiers utilisés par Xsolla ;
- Clickjacking ;
- Self XSS ;
- Spoofing d'e-mails, mauvaise configuration des enregistrements SPF ;
- Redirection ouverte avec injection d'en-tête hôte.
- Divulgation des adresses IP privées

Rapports sur :
- Un paiement refusé ou non effectué ;
- Un remboursement non approuvé ou des fonds non encore reçus ;
- Un système de paiement souhaité temporairement indisponible ou non disponible pour la région ou l'opérateur mobile ;
- La non-réception d'un achat ou du bonus associé ;
- Les problèmes liés à des temps d'arrêt programmés ou imprévus, les problèmes de connexion, etc. ;
- Les défauts constatés sur nos profils sur Facebook, Twitter, LinkedIn, Reddit, etc., et sur les sites Web de nos partenaires.

Pour toute question relative à ces sujets ou au paiement, contactez le service client 24 heures sur 24 et 7 jours sur 7 à help.xsolla.com.


Hors champ d'application

#### PAIEMENTS

Vous pouvez choisir de recevoir les fonds sur un compte PayPal, à condition de confirmer qu'il s'agit de votre compte personnel.\n\nVous pouvez également choisir de recevoir le montant en crédit pour un jeu distribué par Xsolla. Dans ce cas, nous vous demanderons votre pseudo ou l'adresse e-mail associée au compte.


Paiements

#### POLITIQUE DE DIVULGATION RESPONSABLE

Nous estimons qu'il est contraire à l'esprit de ce programme de divulguer une faille à d'autres fins que la correction du bug. Les participants s'engagent à ne pas révéler les bugs découverts avant 30 jours après leur correction et à coordonner toute divulgation avec notre équipe par e-mail pour éviter les malentendus.

Nous nous efforçons de répondre à vos soumissions dans les meilleurs délais, de vous tenir informé de l'avancement des corrections et de vous attribuer une prime si applicable.

Évitez de pirater les comptes d'utilisateurs, de corrompre les bases de données ou de divulguer des informations sensibles. Nous décourageons également les tests susceptibles de dégrader l'expérience utilisateur.



Politique de divulgation responsable

#### RÈGLES DE PARTICIPATION

Soumettez le [formulaire](#form) ci-dessous avec un rapport clair et détaillé des problèmes de sécurité et leur impact. Les rapports sans étapes de reproductions (PoC reproductible) seront classés comme informatifs.

Votre rapport doit contenir autant de ces éléments que possible :

- Lien vers la page contenant le bug ou les produits/sites Web affectés (le cas échéant) ;
- Type de bug ;
- Instructions étape par étape pour reproduire et valider le bug ;
- Impact (pourquoi s'agit-il d'un bug et quelles sont ses conséquences) ;
- Recommandations de correction ou d'amélioration.

Suivez ces instructions lors de la soumission du rapport :

- N'entreprenez aucune post-exploitation : modification ou destruction de données, interruption ou dégradation des services Xsolla ;
- Évitez les attaques par force brute, déni de service, ou de compromettre ni de tester des comptes Xsolla autres que les vôtres ;
- Ne ciblez pas les employés ou les clients de Xsolla : ingénierie sociale, hameçonnage ou attaques physiques ;
- Ne menez pas d'attaques physiques contre des installations de Xsolla.

Utilisez la chaîne User-Agent xsolla-bugbounty-%your-email-before@% lors des tests.

L'usage d'outils d'analyse automatisés est autorisé avec la chaîne User-Agent ci-dessus et limité à 15 requêtes par seconde à un service particulier.

Notez que, l'absence de la chaîne User-Agent peut entraîner le blocage de votre compte/IP par des protections automatisées. Leur rétablissement peut prendre du temps, assurez-vous donc d'inclure la chaîne.

Après soumission, vous recevrez une confirmation automatique vous demandant plus d'informations si nécessaire. Nous continuerons à échanger par e-mail, le cas échéant.\nNous examinerons les informations sur le bug rapporté, et vous informerons en cas de validation du bug.

Règles de participation

Obtenez une assistance rapide par chat dans votre compte Xsolla Wallet.

Besoin d'aide?

Connectez-vous à votre compte Xsolla Wallet pour commencer!

Téléchargez un fichier de 10 Mo au maximum..

Le fichier dépasse la taille limite.

Seuls les fichiers MP4, MOV, JPG, PNG et GIF sont autorisés.

Type de fichier non valide

Merci!

En cas de remplacement, votre adresse de retour ne peut pas être modifiée. Si le champ Région / État est vide, indiquez None.

Vous recevrez une réponse par e-mail une fois la demande traitée.

VULNÉRABILITÉ	GRAVITÉ
Exécution de code à distance	Critique
Injection SQL	Élevée - Critique
XXE	Élevée - Critique
XSS stockée	Moyenne - Élevée
Falsification de requête côté serveur	Élevée – Critique
Traversée de répertoire – Inclusion de fichiers locaux	Élevée
Contournement de l'authentification/autorisation (contrôle d'accès défaillant)	Moyenne - Élevée
Élévation des privilèges	Moyenne - Élevée
Référence d'objet directe non sécurisée	Moyenne - Élevée
Script intersite réfléchi	Moyenne
Mauvaise configuration	Faible - Élevée
Tromperie de cache Web	Faible - Moyenne
Mauvaise configuration CORS	Faible - Moyenne
Injection CRLF	Faible - Moyenne
Falsification de requête intersite	Faible - Moyenne
Redirection ouverte	Faible - Moyenne
Divulgation d'informations	Faible - Moyenne