活動規則

下記のフォーム（リンク）に詳細なレポートを添付して送信してください。このレポートには、セキュリティ上の問題点とその影響について明確な情報が含まれている必要があります。再現性のないPoCの報告は、「参考になる」としてクローズされます。

報告には、可能な限り次の内容を含める必要があります：

• バグを含むページ、または影響を受ける製品/ウェブサイトへのリンク（該当する場合）
• バグの種類
• バグを再現し検証するためのステップバイステップの手順
• 影響（なぜバグだと思うのか、どんなトラブルや被害があるのか）
• 修正/改善のための推奨事項

報告を提出する際は、以下のことに従ってください：

• データの変更や破壊、エクソラサービスの中断や劣化など、エクスプロイト後の不正行為を試みないで下さい
• ブルートフォース攻撃、DoS攻撃、エクソラアカウントの侵害やテストなど、本人以外の行為を試みないで下さい
• ソーシャルエンジニアリング、フィッシング、物理的な攻撃など、エクソラの従業員や顧客を狙った行為を試みないで下さい
• エクソラの施設に対して物理的な攻撃を行わないで下さい

テスト中は、必ずユーザーエージェント文字列 xsolla-bugbounty-%your-email-before@% を使用してください

上記のユーザーエージェントを適用した場合、自動スキャナ/ツールの限定的な使用は可能です。スキャナ/ツールは、特定のサービスに対して1秒間に15回を超えるリクエストを送信しないように設定する必要があります

上記のユーザーエージェント文字列を指定せずにスキャンツールを使用すると、自動保護機能によってアカウント/IPがブロックされる可能性がありますのでご注意ください。このような場合、復旧に時間がかかることがありますので、必ず記述してください。

提出後、必要に応じて詳細情報を求める自動返信付きのレポートを受け取ったことを確認し、該当する場合はメールで会話を続けます。 その後、情報を確認し、報告されたバグの検証に取り組みます。万が一、真のバグが発見された場合は、その旨をお知らせいたします。