バグ報告を提出することにより、お客様は[エクソーラバウンティプログラムポリシー](https://help.xsolla.com/ru/xsolla-bounty-program-terms-and-conditions)に準拠することに同意するものとします。このポリシーは、エクソーラに関連するいかなる脆弱性やバグの詳細についても、公的および私的な開示を禁止しています。

本プログラムへの参加は、上記の規則と条件を遵守することに同意するものとします。報酬の対象となるには、すべての規則に従う必要があります。

報告提出

規則

#### 対象スコープ
本プログラムは、エクソラウェブサイトのウェブ版およびモバイル版に限定されます。Facebook、Twitter、Linkedin、Redditなどでの弊社のプロフィールや、パートナーのウェブサイトは対象外です。

報奨金の対象：

*.xsolla.com (accelerator.xsolla.com 除外された)

80.lv

story3.com

golightstream.com (rainmaker.gg  除外された) 

api.stream


##### 対象となる脆弱性

| 脆弱性 |  重大度範囲 |
|----------|------------------|
| リモートコード実行 | 重大  |
| SQLインジェクション  | 高 - 重大 |
|  XXE   | 高 - 重大 |
|  蓄積型XSS    | 中 - 高      |
| サーバーサイドリクエストフォージェリ | 高 - 重大 |
| ディレクトリトラバーサル - ローカルファイルインクルード     | 高             |
| 認証/認証バイパス（アクセス制御の不備）   | 中 - 高          |
| 安全でない直接オブジェクト参照 | 中 - 高 |
| 反射型クロスサイトスクリプティング    | 中            |
|  誤った構成   | 低 - 高            |
| ウェブキャッシュの欺瞞    |  低 - 中       |
| CORSの誤った構成 | 低 - 中  |
| CRLFインジェクション | 低 - 中           |
| クロスサイトリクエストフォージェリ | 低 - 中  |
| オープンリダイレクト   | 低 - 中       |
| 情報開示    | 低 - 中      |
| 特権エスカレーション    | 中 - 高      |

対象スコープ

#### 活動規則
下記のフォーム（[リンク](#form)）に詳細なレポートを添付して送信してください。このレポートには、セキュリティ上の問題点とその影響について明確な情報が含まれている必要があります。再現性のないPoCの報告は、「参考になる」としてクローズされます。

報告には、可能な限り次の内容を含める必要があります：
- バグを含むページ、または影響を受ける製品/ウェブサイトへのリンク（該当する場合）
- バグの種類
- バグを再現し検証するためのステップバイステップの手順
- 影響（なぜバグだと思うのか、どんなトラブルや被害があるのか）
- 修正/改善のための推奨事項

報告を提出する際は、以下のことに従ってください：
- データの変更や破壊、エクソラサービスの中断や劣化など、エクスプロイト後の不正行為を試みないで下さい
- ブルートフォース攻撃、DoS攻撃、エクソラアカウントの侵害やテストなど、本人以外の行為を試みないで下さい
- ソーシャルエンジニアリング、フィッシング、物理的な攻撃など、エクソラの従業員や顧客を狙った行為を試みないで下さい
- エクソラの施設に対して物理的な攻撃を行わないで下さい

テスト中は、必ずユーザーエージェント文字列 xsolla-bugbounty-%your-email-before@% を使用してください

上記のユーザーエージェントを適用した場合、自動スキャナ/ツールの限定的な使用は可能です。スキャナ/ツールは、特定のサービスに対して1秒間に15回を超えるリクエストを送信しないように設定する必要があります

上記のユーザーエージェント文字列を指定せずにスキャンツールを使用すると、自動保護機能によってアカウント/IPがブロックされる可能性がありますのでご注意ください。このような場合、復旧に時間がかかることがありますので、必ず記述してください。

提出後、必要に応じて詳細情報を求める自動返信付きのレポートを受け取ったことを確認し、該当する場合はメールで会話を続けます。
その後、情報を確認し、報告されたバグの検証に取り組みます。万が一、真のバグが発見された場合は、その旨をお知らせいたします。


活動規則

#### 責任ある情報開示ポリシー
バグ修正以外の目的で脆弱性を開示することは、本プログラムの趣旨に反すると考えます。脆弱性が [対象範囲内](https://help.xsolla.com/en/rules/in-scope)としてリストされているか、[対象となるウェブサイト](https://help.xsolla.com/en/rules/in-scope)または他のエクソーラウェブサイトで発見されたかに関わらず、参加者は、[関与規定](https://help.xsolla.com/en/rules/rules-of-engagement)で提供されているフォームでの提出以外のいかなる方法でも、発見された脆弱性を開示または報告しないことに同意し、さらに、そのような脆弱性をいかなる第三者にも開示しないことに同意するものとします。

ご提出いただいた内容には、可能な限り迅速に返答し、適切な場合は報奨金を支給いたします。

ユーザーアカウントのハッキング、データベースの破損、または機密性の高いデータの漏洩は行わないでください。また、当社のユーザーへのサービス品質を低下させるようなテストも推奨しません。

責任ある情報開示ポリシー

#### お支払い
お客様は、PayPalアカウントで資金を受け取ることを選択することができ、その場合、お客様は、提供されたPayPalアカウントがお客様の個人アカウントであることを認識する必要があります。

また、エクソラが配信しているゲームのクレジットとして受け取ることも可能です。この場合、アカウントに紐付けられたニックネーム/メールアドレスを要求させていただきます。

お支払い

#### スコープ外
- セキュリティのベストプラクティス 例えばセキュリティヘッダなど
- ソーシャルエンジニアリング、フィッシング
- 物理攻撃
- クッキーフラグの欠落
- ログインCSRF、ログアウトCSRFなど、影響を最小限に抑えたCSRF。
- コンテンツスプーフィング
- スタックトレース、パス漏洩、ディレクトリリスティング
- SSL/TLSのベストプラクティス
- バナーグラブ
- CSVインジェクション
- 反射型ファイルダウンロード
- 古いブラウザのレポート
- DOS/DDOS（レート制限やファイルサイズ制限なしなど）
- 明らかな影響のないホストヘッダインジェクション
- スキャナー出力
- サードパーティ商品の脆弱性
- ユーザー列挙攻撃
- パスワードの複雑さ
- HTTPのTRACEメソッド
- エクソラが使用するサードパーティソフトウェアで見つかった問題
- クリックジャッキング 
- セルフXSS
- メールスプーフィング - SPFレコードの誤った構成
- ホストヘッダーインジェクションによるリダイレクトを開く
- プライベートIPアドレスの開示

以下に関する報告：
- お支払いが拒否されること、またはお支払いが完了しないこと。
- 払い戻しが承認されていない、または資金がまだお客様のアカウントに届いていないこと。
- ご利用したい決済システムは、お客様の地域/携帯キャリアでは一時的に利用できないか、または利用できないこと。
- 購入やそれに伴うボーナスを受け取っていないこと。
- スケジュールされたまたはスケジュールされていないダウンタイム、接続の問題などに関連する問題。
- Facebook、Twitter、Linkedin、Redditなどの当社プロフィールおよび当社パートナーのウェブサイトで発見された欠陥。

これらの問題やその他の決済に関する問題は、help.xsolla.comまで24時間365日対応のカスタマーサービスにお問い合わせください。

スコープ外

#### 報酬
当社の報酬は、脆弱性の深刻度に基づいて決定されます。深刻度の計算には、CVSS 3.1（共通脆弱性評価システム）を使用しています。

発見が困難なユニークなバグや、高品質な報告に対しては、より高額な報酬をお支払いする場合があります。また、悪用のリスクを下げる複雑な前提条件を持つバグに対しては、報酬額が低くなる場合があります。

なお、報酬額はエクソーラの裁量により決定されます。補償的な対策や背景によっては、問題の深刻度が低く評価されることがあります。

表に示された金額は、各深刻度レベルの最大金額として考慮されるべきですが、エクソーラの裁量によりボーナスが与えられる場合があります。

| 重大度 |  金額（単位：米ドル） |
|----------|------------------|
| 重大 | $1,000 - $2,000  |
| 高     | $800             |
| 中   | $500             |
| 低      | $100             |

重複した報告があった場合、完全に再現可能な最初の報告が採用されます。

同一の根本原因に起因する複数の脆弱性については、報奨金は1件のみとなり、その原因を最初に特定した報告に対して支払われます。報奨金は検証完了時に授与されます。ただし、脆弱性の深刻度を調査するのに時間がかかる場合があり、報奨金の支払いが遅れることがあります。

バグを調査する際は、ご自身の（複数の）アカウントのみでテストを行い、他のアカウントとやり取りしたり、他のユーザーに危害を与えたり、プライバシーを侵害したりする行為を行わないでください。報酬の対象となるには、すべてのルールに従う必要があります。

報酬

[エクソーラウォレッ](https://wallet.xsolla.com/)でより迅速なチャットサポートを利用できます。

何かお困りですか？

Xsollaアカウントにログインして始めましょう！

最大ファイルサイズ10MBのファイルをアップロードしてください

File exceeds size limit.

MP4、MOV、JPG、PNG、GIFファイルのみ使用可能です

無効なファイル形式

ありがとうございます！

ここにメッセージを入力してください…

交換の場合、返送先の住所は変更できません。

当社で処理した後、お客様のメールアドレスに返信いたします

脆弱性	重大度範囲
リモートコード実行	重大
SQLインジェクション	高 - 重大
XXE	高 - 重大
蓄積型XSS	中 - 高
サーバーサイドリクエストフォージェリ	高 - 重大
ディレクトリトラバーサル - ローカルファイルインクルード	高
認証/認証バイパス（アクセス制御の不備）	中 - 高
安全でない直接オブジェクト参照	中 - 高
反射型クロスサイトスクリプティング	中
誤った構成	低 - 高
ウェブキャッシュの欺瞞	低 - 中
CORSの誤った構成	低 - 中
CRLFインジェクション	低 - 中
クロスサイトリクエストフォージェリ	低 - 中
オープンリダイレクト	低 - 中
情報開示	低 - 中
特権エスカレーション	中 - 高