バグ報告を提出することにより、[エクソラ報奨金プログラムポリシー](/ja/xsolla-bounty-program-terms-and-conditions)に同意したものとみなします。エクソラの脆弱性やバグが修正されてから30日以内に、その詳細を公開または非公開で開示することを禁じています。

本プログラムに参加することにより、お客様は上記の規則および条件を遵守することに同意したものとみなされます。報酬を得るためには、すべての規則を遵守する必要があります

報告提出

規則

#### 対象スコープ
本プログラムは、エクソラウェブサイトのウェブ版およびモバイル版に限定されます。Facebook、Twitter、Linkedin、Redditなどでの弊社のプロフィールや、パートナーのウェブサイトは対象外です。

報奨金の対象：

*.xsolla.com

80.lv

story3.com



##### 対象となる脆弱性

| 脆弱性 |  重大度範囲 |
|----------|------------------|
| リモートコード実行 | 重大  |
| SQLインジェクション  | 高 - 重大 |
|  XXE   | 高 - 重大 |
|  蓄積型XSS    | 中 - 高      |
| サーバーサイドリクエストフォージェリ | 高 - 重大 |
| ディレクトリトラバーサル - ローカルファイルインクルード     | 高             |
| 認証/認証バイパス（アクセス制御の不備）   | 中 - 高          |
| 特権エスカレーション   | 中 - 高           |
| 安全でない直接オブジェクト参照 | 中 - 高 |
| 反射型クロスサイトスクリプティング    | 中            |
|  誤った構成   | 低 - 高            |
| ウェブキャッシュの欺瞞    |  低 - 中       |
| CORSの誤った構成 | 低 - 中  |
| CRLFインジェクション | 低 - 中           |
| クロスサイトリクエストフォージェリ | 低 - 中  |
| オープンリダイレクト   | 低 - 中       |
| 情報開示    | 低 - 中      |

対象スコープ

#### 活動規則
下記のフォーム（[リンク](#form)）に詳細なレポートを添付して送信してください。このレポートには、セキュリティ上の問題点とその影響について明確な情報が含まれている必要があります。再現性のないPoCの報告は、「参考になる」としてクローズされます。

報告には、可能な限り次の内容を含める必要があります：
- バグを含むページ、または影響を受ける製品/ウェブサイトへのリンク（該当する場合）
- バグの種類
- バグを再現し検証するためのステップバイステップの手順
- 影響（なぜバグだと思うのか、どんなトラブルや被害があるのか）
- 修正/改善のための推奨事項

報告を提出する際は、以下のことに従ってください：
- データの変更や破壊、エクソラサービスの中断や劣化など、エクスプロイト後の不正行為を試みないで下さい
- ブルートフォース攻撃、DoS攻撃、エクソラアカウントの侵害やテストなど、本人以外の行為を試みないで下さい
- ソーシャルエンジニアリング、フィッシング、物理的な攻撃など、エクソラの従業員や顧客を狙った行為を試みないで下さい
- エクソラの施設に対して物理的な攻撃を行わないで下さい

テスト中は、必ずユーザーエージェント文字列 xsolla-bugbounty-%your-email-before@% を使用してください

上記のユーザーエージェントを適用した場合、自動スキャナ/ツールの限定的な使用は可能です。スキャナ/ツールは、特定のサービスに対して1秒間に15回を超えるリクエストを送信しないように設定する必要があります

上記のユーザーエージェント文字列を指定せずにスキャンツールを使用すると、自動保護機能によってアカウント/IPがブロックされる可能性がありますのでご注意ください。このような場合、復旧に時間がかかることがありますので、必ず記述してください。

提出後、必要に応じて詳細情報を求める自動返信付きのレポートを受け取ったことを確認し、該当する場合はメールで会話を続けます。
その後、情報を確認し、報告されたバグの検証に取り組みます。万が一、真のバグが発見された場合は、その旨をお知らせいたします。


活動規則

#### 責任ある情報開示ポリシー
実際にバグを修正する以外の目的で欠陥を公開することは、本プログラムの精神に反すると考えます。参加者は、発見されたバグが修正された30日後まで開示しないこと、および混乱を避けるためにメールを通じて当社チームと開示を調整することに同意するものとします。

提出については、可能な限り迅速に対応し、修正に関する最新情報をお知らせするとともに、適切な場合には報奨金を授与します。

ユーザーアカウントのハッキング、データベースの破損、機密性の高いデータの漏洩はご遠慮ください。また、ユーザーのサービス品質を低下させるようなテストもご遠慮ください。


責任ある情報開示ポリシー

#### お支払い
お客様は、PayPalアカウントで資金を受け取ることを選択することができ、その場合、お客様は、提供されたPayPalアカウントがお客様の個人アカウントであることを認識する必要があります。

また、エクソラが配信しているゲームのクレジットとして受け取ることも可能です。この場合、アカウントに紐付けられたニックネーム/メールアドレスを要求させていただきます。

お支払い

#### スコープ外
- セキュリティのベストプラクティス 例えばセキュリティヘッダなど
- ソーシャルエンジニアリング、フィッシング
- 物理攻撃
- クッキーフラグの欠落
- ログインCSRF、ログアウトCSRFなど、影響を最小限に抑えたCSRF。
- コンテンツスプーフィング
- スタックトレース、パス漏洩、ディレクトリリスティング
- SSL/TLSのベストプラクティス
- バナーグラブ
- CSVインジェクション
- 反射型ファイルダウンロード
- 古いブラウザのレポート
- DOS/DDOS（レート制限やファイルサイズ制限なしなど）
- 明らかな影響のないホストヘッダインジェクション
- スキャナー出力
- サードパーティ商品の脆弱性
- ユーザー列挙攻撃
- パスワードの複雑さ
- HTTPのTRACEメソッド
- エクソラが使用するサードパーティソフトウェアで見つかった問題
- クリックジャッキング 
- セルフXSS
- メールスプーフィング - SPFレコードの誤った構成

以下に関する報告：
- お支払いが拒否されること、またはお支払いが完了しないこと。
- 払い戻しが承認されていない、または資金がまだお客様のアカウントに届いていないこと。
- ご利用したい決済システムは、お客様の地域/携帯キャリアでは一時的に利用できないか、または利用できないこと。
- 購入やそれに伴うボーナスを受け取っていないこと。
- スケジュールされたまたはスケジュールされていないダウンタイム、接続の問題などに関連する問題。
- Facebook、Twitter、Linkedin、Redditなどの当社プロフィールおよび当社パートナーのウェブサイトで発見された欠陥。

これらの問題やその他の決済に関する問題は、help.xsolla.comまで24時間365日対応のカスタマーサービスにお問い合わせください。

スコープ外

#### 報酬
当社の報酬は、脆弱性の重大度に基づいています。CVSS 3.1（共通脆弱性評価システム CVSS）を使用して、重大度を計算します。

ユニークで見つけにくいバグや、質の高い報告にはより多くの報酬を支払うかもしれません。また、悪用される危険性が低い複雑な前提条件を持つバグには、より少ない報酬を支払うかもしれません。

報酬の決定はエクソラの裁量に委ねられることをご了承ください。補正コントロールとコンテキストが存在するため、問題の重大度は低くなる可能性があります。

表中の金額は、各重大度レベルの最大金額と考えるべきですが、エクソラの裁量でボーナスが与えられることもあります。

| 重大度 |  金額（単位：米ドル） |
|----------|------------------|
| 重大 | $1,000 - $2,000  |
| 高     | $800             |
| 中   | $500             |
| 低      | $100             |

重複が発生した場合は、完全に再現できた最初の報告を表彰しています。

1つの根本的な問題によって引き起こされた複数の脆弱性は、1つの報奨金として与えられます。検証時に報奨金を授与し、解決に向けて随時お知らせします。ただし、脆弱性の重大度を調査するのに時間がかかり、報奨金が後日支払われる場合もあります。

バグを調査する際は、自分のアカウントのみでテストを行い、所有者の同意なしに他のアカウントとやり取りをしないでください。


報酬

[エクソーラウォレッ](https://account.xsolla.com/)でより迅速なチャットサポートを利用できます。

何かお困りですか？

Xsollaアカウントにログインして始めましょう！

Upload a file that has a max file size of 10mb.

File exceeds size limit.

Only MP4, MOV, JPG, PNG and GIF files are allowed.

Invalid file type

ありがとうございます！

ここにメッセージを入力してください…

交換の場合、返送先の住所は変更できません。

当社で処理した後、お客様のメールアドレスに返信いたします

脆弱性	重大度範囲
リモートコード実行	重大
SQLインジェクション	高 - 重大
XXE	高 - 重大
蓄積型XSS	中 - 高
サーバーサイドリクエストフォージェリ	高 - 重大
ディレクトリトラバーサル - ローカルファイルインクルード	高
認証/認証バイパス（アクセス制御の不備）	中 - 高
特権エスカレーション	中 - 高
安全でない直接オブジェクト参照	中 - 高
反射型クロスサイトスクリプティング	中
誤った構成	低 - 高
ウェブキャッシュの欺瞞	低 - 中
CORSの誤った構成	低 - 中
CRLFインジェクション	低 - 中
クロスサイトリクエストフォージェリ	低 - 中
オープンリダイレクト	低 - 中
情報開示	低 - 中