Le programme couvre uniquement les versions Web et mobile du site de Xsolla. Nos profils sur Facebook, Twitter, LinkedIn, Reddit, etc., et les sites Web de nos partenaires ne sont pas éligibles.
Éligible pour la prime :
*.xsolla.com (sauf accelerator.xsolla.com)
80.lv
story3.com
golightstream.com (sauf rainmaker.gg)
api.stream
VULNÉRABILITÉ | GRAVITÉ |
---|---|
Exécution de code à distance | Critique |
Injection SQL | Élevée - Critique |
XXE | Élevée - Critique |
XSS stockée | Moyenne - Élevée |
Falsification de requête côté serveur | Élevée – Critique |
Traversée de répertoire – Inclusion de fichiers locaux | Élevée |
Contournement de l'authentification/autorisation (contrôle d'accès défaillant) | Moyenne - Élevée |
Référence d'objet directe non sécurisée | Moyenne - Élevée |
Script intersite réfléchi | Moyenne |
Mauvaise configuration | Faible - Élevée |
Tromperie de cache Web | Faible - Moyenne |
Mauvaise configuration CORS | Faible - Moyenne |
Injection CRLF | Faible - Moyenne |
Falsification de requête intersite | Faible - Moyenne |
Redirection ouverte | Faible - Moyenne |
Divulgation d'informations | Faible - Moyenne |
En soumettant un rapport de bogue, vous acceptez de vous conformer à la Xsolla Bounty Program Policy, qui interdit la divulgation publique et privée de toute vulnérabilité ou de tout détail de bogue lié à Xsolla.
En participant à ce programme, vous acceptez d'adhérer aux règles et conditions ci-dessus. Toutes les règles doivent être respectées pour pouvoir bénéficier des récompenses.