En soumettant un rapport de bogue, vous acceptez de vous conformer à la [Xsolla Bounty Program Policy](https://help.xsolla.com/ru/xsolla-bounty-program-terms-and-conditions), qui interdit la divulgation publique et privée de toute vulnérabilité ou de tout détail de bogue lié à Xsolla.

En participant à ce programme, vous acceptez d'adhérer aux règles et conditions ci-dessus. Toutes les règles doivent être respectées pour pouvoir bénéficier des récompenses.

Afin de renforcer la sécurité des rapports soumis, nous **n'acceptons plus les preuves de concept fournies via des liens externes (tels que YouTube, Google Drive, Streamlabs)** , que nous considérons comme une violation des règles du programme.

Veuillez télécharger les vidéos, captures d'écran et images directement via le formulaire de soumission. Actuellement, **les fichiers POC ne doivent pas dépasser 25 Mo et 7 minutes de durée**. Raccourcissez ou compressez les fichiers si nécessaire pour répondre à ces exigences.

ENVOYER UN RAPPORT

Règles

#### CHAMP D'APPLICATION

Le programme couvre uniquement les versions Web et mobile du site de Xsolla. Nos profils sur Facebook, Twitter, LinkedIn, Reddit, etc., et les sites Web de nos partenaires ne sont pas éligibles.

Éligible pour la prime :

*.xsolla.com (sauf accelerator.xsolla.com)

80.lv

story3.com

golightstream.com (sauf rainmaker.gg)

api.stream


##### VULNÉRABILITÉS ÉLIGIBLES

| VULNÉRABILITÉ |  GRAVITÉ |
|----------|------------------|
| Exécution de code à distance | Critique  |
| Injection SQL    | Élevée - Critique |
|  XXE   | Élevée - Critique    |
|  XSS stockée      | Moyenne - Élevée             |
| Falsification de requête côté serveur | Élevée – Critique  |
| Traversée de répertoire – Inclusion de fichiers locaux     | Élevée             |
| Contournement de l'authentification/autorisation (contrôle d'accès défaillant)   | Moyenne - Élevée             |
|  Référence d'objet directe non sécurisée | Moyenne - Élevée  |
| Script intersite réfléchi     | Moyenne             |
|  Mauvaise configuration   | Faible - Élevée             |
| Tromperie de cache Web      | Faible - Moyenne             |
| Mauvaise configuration CORS | Faible - Moyenne  |
| Injection CRLF    | Faible - Moyenne             |
| Falsification de requête intersite   | Faible - Moyenne             |
| Redirection ouverte      | Faible - Moyenne             |
| Divulgation d'informations     | Faible - Moyenne              |
| Élévation de privilèges     | Moyenne - Élevée              |

Champ d'application

#### RÉCOMPENSES

Nos récompenses sont basées sur la gravité de la vulnérabilité. Nous utilisons la norme CVSS 3.1 (Common Vulnerability Scoring Standard) pour calculer la gravité.

Nous pouvons payer davantage pour des bogues uniques et difficiles à trouver, ou pour des rapports de haute qualité ; nous pouvons également payer moins pour des bogues dont les conditions préalables sont complexes et qui réduisent le risque d'exploitation.

Veuillez noter, cependant, que les décisions de récompense sont laissées à la discrétion de Xsolla. Les problèmes peuvent être moins graves en raison de la présence de contrôles compensatoires et du contexte.

Les montants indiqués dans le tableau doivent être considérés comme des montants MAXIMAUX pour chaque niveau de gravité, bien que des bonus puissent être accordés à la discrétion de Xsolla.

| Gravité | Montant (USD) |
|----------|------------------|
| Critique | 1 000 $ – 2 000 $ |
| Élevée | 800 $ |
| Moyenne | 500 $ |
| Faible | 100 $ |


En cas de doublons, nous attribuons le premier rapport que nous pouvons reproduire complètement.

Les vulnérabilités multiples découlant d'un seul problème sous-jacent ne peuvent faire l'objet que d'une seule prime, qui sera accordée au premier rapport révélant le problème. Les primes sont attribuées après validation. Cependant, il arrive que l'enquête sur la gravité de la vulnérabilité prenne plus de temps et que la prime soit versée plus tard.

Ne testez qu'avec votre (vos) propre(s) compte(s) lorsque vous enquêtez sur des bogues, et n'interagissez pas avec d'autres comptes, ou ne vous engagez pas dans des actions qui pourraient nuire à d'autres utilisateurs ou violer leur vie privée. Toutes les règles doivent être respectées pour pouvoir bénéficier des récompenses.

Récompenses

#### HORS CHAMP D'APPLICATION

- Meilleures pratiques de sécurité (ex. : en-têtes de sécurité) ;
- Ingénierie sociale, hameçonnage ;
- Attaques physiques ;
- Drapeaux de cookies manquants ;
- CSRF à faible impact (ex. : CSRF de connexion/déconnexion) ;
- Usurpation de contenu ;
- Traces de pile, divulgation de chemin, listes de répertoires ;
- Bonnes pratiques SSL/TLS ;
- Banner Grabbing ;
- Injection CSV ;
- Reflected File Download ;
- Navigateurs obsolètes ;
- DOS/DDOS (y compris absence de limites de taux ou de restrictions sur la taille des fichiers) ;
- Injection d'en-tête hôte sans impact démontrable ;
- Résultats d'outils d'analyse ;
- Vulnérabilités de produits tiers ;
- Énumération d'utilisateurs ;
- Complexité des mots de passe ;
- Méthode HTTP Trace ;
- Problèmes dans des logiciels tiers utilisés par Xsolla ;
- Clickjacking ;
- Self XSS ;
- Spoofing d'e-mails, mauvaise configuration des enregistrements SPF ;
- Redirection ouverte avec injection d'en-tête hôte.
- Divulgation des adresses IP privées

Rapports sur :
- Un paiement refusé ou non effectué ;
- Un remboursement non approuvé ou des fonds non encore reçus ;
- Un système de paiement souhaité temporairement indisponible ou non disponible pour la région ou l'opérateur mobile ;
- La non-réception d'un achat ou du bonus associé ;
- Les problèmes liés à des temps d'arrêt programmés ou imprévus, les problèmes de connexion, etc. ;
- Les défauts constatés sur nos profils sur Facebook, Twitter, LinkedIn, Reddit, etc., et sur les sites Web de nos partenaires.

Pour toute question relative à ces sujets ou au paiement, contactez le service client 24 heures sur 24 et 7 jours sur 7 à help.xsolla.com.


Hors champ d'application

#### PAIEMENTS

Vous pouvez choisir de recevoir les fonds sur un compte PayPal, à condition de confirmer qu'il s'agit de votre compte personnel.\n\nVous pouvez également choisir de recevoir le montant en crédit pour un jeu distribué par Xsolla. Dans ce cas, nous vous demanderons votre pseudo ou l'adresse e-mail associée au compte.


Paiements

#### POLITIQUE DE DIVULGATION RESPONSABLE
Nous pensons qu'il est contraire à l'esprit de ce programme de divulguer la faille à des fins autres que la correction du bogue. Qu'une vulnérabilité soit répertoriée comme étant [dans le champ d'application](https://help.xsolla.com/en/rules/in-scope), ou qu'elle soit découverte sur des [sites web éligibles](https://help.xsolla.com/en/rules/in-scope) ou d'autres sites web Xsolla, les participants s'engagent à ne pas divulguer ou signaler les vulnérabilités identifiées par d'autres moyens que l'envoi du formulaire prévu dans les [règles d'engagement](https://help.xsolla.com/en/rules/rules-of-engagement) et s'engagent en outre à ne pas divulguer ces vulnérabilités à des tiers. 

Nous ferons de notre mieux pour répondre à votre demande le plus rapidement possible et attribuer une prime le cas échéant.

Veuillez ne pas pirater les comptes d'utilisateurs, corrompre les bases de données ou divulguer des données qui pourraient être sensibles. Nous décourageons également les tests qui dégradent la qualité du service pour nos utilisateurs.



Politique de divulgation responsable

#### RÈGLES DE PARTICIPATION

Soumettez le [formulaire](#form) ci-dessous avec un rapport clair et détaillé des problèmes de sécurité et leur impact. Les rapports sans étapes de reproductions (PoC reproductible) seront classés comme informatifs.

Votre rapport doit contenir autant de ces éléments que possible :

- Lien vers la page contenant le bug ou les produits/sites Web affectés (le cas échéant) ;
- Type de bug ;
- Instructions étape par étape pour reproduire et valider le bug ;
- Impact (pourquoi s'agit-il d'un bug et quelles sont ses conséquences) ;
- Recommandations de correction ou d'amélioration.

Suivez ces instructions lors de la soumission du rapport :

- N'entreprenez aucune post-exploitation : modification ou destruction de données, interruption ou dégradation des services Xsolla ;
- Évitez les attaques par force brute, déni de service, ou de compromettre ni de tester des comptes Xsolla autres que les vôtres ;
- Ne ciblez pas les employés ou les clients de Xsolla : ingénierie sociale, hameçonnage ou attaques physiques ;
- Ne menez pas d'attaques physiques contre des installations de Xsolla.

Utilisez la chaîne User-Agent xsolla-bugbounty-%your-email-before@% lors des tests.

L'usage d'outils d'analyse automatisés est autorisé avec la chaîne User-Agent ci-dessus et limité à 15 requêtes par seconde à un service particulier.

Notez que, l'absence de la chaîne User-Agent peut entraîner le blocage de votre compte/IP par des protections automatisées. Leur rétablissement peut prendre du temps, assurez-vous donc d'inclure la chaîne.

Après soumission, vous recevrez une confirmation automatique vous demandant plus d'informations si nécessaire. Nous continuerons à échanger par e-mail, le cas échéant.\nNous examinerons les informations sur le bug rapporté, et vous informerons en cas de validation du bug.

Règles de participation

Obtenez une assistance rapide par chat dans votre compte Xsolla Wallet.

Besoin d'aide?

Connectez-vous à votre compte Xsolla Wallet pour commencer!

Téléchargez un fichier de 10 Mo au maximum..

Le fichier dépasse la taille limite.

Seuls les fichiers MP4, MOV, JPG, PNG et GIF sont autorisés.

Type de fichier non valide

Merci!

En cas de remplacement, votre adresse de retour ne peut pas être modifiée. Si le champ Région / État est vide, indiquez None.

Vous recevrez une réponse par e-mail une fois la demande traitée.

VULNÉRABILITÉ	GRAVITÉ
Exécution de code à distance	Critique
Injection SQL	Élevée - Critique
XXE	Élevée - Critique
XSS stockée	Moyenne - Élevée
Falsification de requête côté serveur	Élevée – Critique
Traversée de répertoire – Inclusion de fichiers locaux	Élevée
Contournement de l'authentification/autorisation (contrôle d'accès défaillant)	Moyenne - Élevée
Référence d'objet directe non sécurisée	Moyenne - Élevée
Script intersite réfléchi	Moyenne
Mauvaise configuration	Faible - Élevée
Tromperie de cache Web	Faible - Moyenne
Mauvaise configuration CORS	Faible - Moyenne
Injection CRLF	Faible - Moyenne
Falsification de requête intersite	Faible - Moyenne
Redirection ouverte	Faible - Moyenne
Divulgation d'informations	Faible - Moyenne
Élévation de privilèges	Moyenne - Élevée