버그 보고서를 제출하면 버그가 수정된 후 30일 이내에 엑솔라의 보안 취약성 또는 버그의 세부 정보를 대중에 공개 또는 개인적으로 공개를 금지하는[엑솔라 바운티 프로그램 정책](/ko/xsolla-bounty-program-terms-and-conditions)준수에 동의하게 됩니다.

이 프로그램에 참여함으로써 위의 규정 및 조건 준수에 동의하게 됩니다. 보상을 받으려면 모든 규칙을 따라야 합니다.



보고서 제출

규정

#### 범위 내
본 프로그램은 엑솔라 웹 사이트의 웹 및 모바일 버전으로 제한됩니다. Facebook, Twitter, Linkedin, Reddit 등의 프로필과 파트너 웹 사이트는 자격이 없습니다.

바운티 보상 대상:

*.xsolla.com

80.lv

story3.com

golightstream.com (rainmaker.gg 제외 된) 

api.stream


##### 적격한 취약성

| 취약성 |  심각도 범위 |
|----------|------------------|
| 원격 코드 실행 | 심각  |
| SQL 인젝션 | 높음 - 심각 |
|  XXE   | 높음 - 심각   |
|  스토어드 XSS    | 중간 - 높음           |
| 서버 측 요청 위조(SSRF) | 높음 - 심각  |
| 디렉터리 접근공격 - 로컬 파일 포함(LFI)  | 높음             |
| 인증/인증 우회(취약한 접근 제어)  | 중간 - 높음          |
| 권한 상승 | 중간 - 높음 |
| 취약한 직접 객체 참조(IDOR) | 중간 - 높음 |
| 반영된 크로스 사이트 스크립팅    | 중간  |
|  잘못된 구성   | 낮음 - 높음       |
| 웹 캐시 디셉션      | 낮음 - 중간         |
| 잘못된 구성의 CORS | 낮음 - 중간  |
| CRLF 인젝션     | 낮음 - 중간      |
| 크로스 사이트 요청 위조(CSRF)   | 낮음 - 중간          |
| 오픈 리디렉션   | 낮음 - 중간 |
| 정보 공개    | 낮음 - 중간         |

범위 내

#### 참여 규정
자세한 보고서와 함께 아래의 양식[링크](#form)을 제출하세요. 이 보고서에는 보안 문제와 문제의 영향에 대한 명확한 정보가 포함되어 있어야 합니다. 재현 가능한 PoC가 없는 보고서는 정보 제공으로 마감됩니다.

보고서에는 다음과 같은 내용이 가능한 한 많이 포함되어 있어야 합니다:
- 버그 또는 영향을 받는 제품/웹 사이트가 포함된 페이지 링크(해당되는 경우)
- 버그의 유형
- 버그를 재현하고 검증하기 위한 단계별 지침
- 영향(버그라고 생각하는 이유와 이로 인해 발생하는 문제 또는 피해)
- 수정/개선을 위한 권장 사항

보고서를 제출하는 동안 다음을 따르세요.
- 데이터 수정 또는 파괴, 엑솔라 서비스 중단 또는 성능 저하 등 사후 악용을 시도하지 마십시오
- 무차별 암호 대입 공격, 서비스 거부 공격, 본인의 계정이 아닌 엑솔라 계정 손상 또는 테스트를 시도하지 마십시오
- 엑솔라 직원 또는 고객을 대상으로 사회 공학 공격, 피싱 공격 또는 물리 공격 등을 시도하지 마십시오
- 엑솔라 시설에 물리 공격을 가하지 마십시오

테스트하는 동안 사용자 에이전트 문자열 xsolla-bug bounty-%your-email-before@% 를 사용해야 합니다.

위의 사용자 에이전트가 적용된 자동화 스캐너/도구의 제한된 사용은 허용되며 스캐너/도구는 특정 서비스에 초당 15개 이상의 요청을 보내지 않도록 구성되어야 합니다.

위의 사용자 에이전트 문자열 없이 스캐닝 도구를 사용하면 자동 보호 기능에 의해 계정/IP가 차단될 수 있습니다. 이러한 항목을 복원하는 데 시간이 걸릴 수 있으므로 사용자 에이전트 문자열을 포함해야 합니다.

제출이 완료되면 필요한 경우 추가 정보를 요청하는 자동 회신과 함께 귀하의 보고서를 수신했음을 확인드리며, 해당되는 경우 이메일을 통해 대화를 계속 이어나갈 것입니다.
그런 다음 저희는 정보를 검토하고 보고된 버그를 검증하기 위해 노력할 것입니다. 실제 버그가 발견되는 경우 다시 알려드리겠습니다.


참여 규정

#### 책임 공개 정책
당사는 실제로 버그를 수정하는 것 이외의 목적으로 결함을 공개하는 것은 이 프로그램의 정신에 어긋난다고 생각합니다. 참가자는 버그가 수정된 후 30일까지 발견된 버그를 공개하지 않고 혼란을 피하기 위해 이메일을 통해 공개 세부 사항을 조정하는 데 동의합니다.

당사는 가능한 한 빨리 여러분의 제출에 응답하고 수정 사항에 대한 최신 정보를 제공하며 적절한 경우 바운티 보상을 수여하기 위해 최선을 다할 것입니다.

사용자 계정을 해킹하거나 데이터베이스를 손상시키거나 민감한 데이터를 유출하지 마십시오. 또한 사용자의 서비스 품질을 저하시키는 테스트를 권장하지 않습니다.

책임 공개 정책

#### 결제
PayPal 계정으로 자금을 수령하도록 선택할 수 있으며, 이 경우 제공하는 PayPal 계정이 본인의 개인 계정임을 확인해야 합니다.

엑솔라가 배포하는 모든 게임에 사용할 수 있는 크레딧으로 받도록 선택할 수도 있습니다. 이 경우 계정과 연결된 닉네임/이메일을 요청합니다.

결제

#### 범위를 벗어남
- 보안 모범 사례(예: 보안 헤더 등)
- 사회 공학, 피싱
- 물리 공격
- 쿠키 플래그 누락
- 최소한의 영향을 미치는 CSRF(예: 로그인 CSRF, 로그아웃 CSRF 등)
- 콘텐츠 스푸핑
- 스택 추적, 경로 공개, 디렉터리 목록
- SSL/TLS 모범 사례
- 배너 그래빙
- CSV 인젝션
- 반영된 파일 다운로드
- 오래된 브라우저에 대한 보고서
- DOS/DDOS(속도 제한 및 파일 크기 제한 없음 포함)
- 명백한 영향이 없는 호스트 헤더 인젝션
- 스캐너 출력
- 타사 제품의 취약성
- 사용자 열거
- 암호 복잡성
- HTTP 추적 방법
- Xsolla에서 사용하는 타사 소프트웨어에서 발견된 문제
- 클릭재킹
- 셀프 XSS
- 이메일 스푸핑 - 잘못된 구성의 SPF 레코드 
- 호스트 헤더 인젝션을 통한 오픈 리디렉션

보고됨:
- 결제가 거부되었거나 진행되고 있지 않습니다.
- 승인되지 않은 환불이거나 귀하의 계정에 아직 입금되지 않았습니다.
- 사용하려는 결제 시스템을 일시적으로 사용할 수 없거나 해당 지역/이동통신사에서 사용할 수 없습니다.
- 구매 항목 또는 이와 관련된 보너스를 받지 못했습니다.
- 예정되거나 예정되지 않은 다운타임, 연결 문제 등과 관련된 문제.
- Facebook, Twitter, Linkedin, Reddit 등의 프로필과 파트너 웹 사이트에서 발견된 결함.

이러한 문제 및 기타 결제 관련 문제는 help.xsolla.com을 통해 24시간 연중무휴로 운영되는 고객 서비스 팀에 문의해주세요.

범위를 벗어남

#### 보상
당사의 보상은 취약성의 심각도를 기반으로 합니다. 당사는 CVSS 3.1(Common Vulnerability Scoring Standard)을 사용하여 심각도를 계산합니다.

고유하고 찾기 어려운 버그나 고품질 보고서에 대해 더 많은 보상을 제공할 수 있습니다. 또한 악용 위험을 낮추는 복잡한 전제 조건을 가진 버그의 경우 더 적은 보상을 지불할 수도 있습니다.

다만 보상 결정은 엑솔라의 재량에 달려 있습니다. 보상 제어 및 컨텍스트에 따라 문제의 심각도는 낮아질 수 있습니다.

표에 표시된 금액은 각 심각도 수준에 대한 최대 금액으로 간주되어야 하며, 엑솔라의 재량에 따라 보너스가 제공될 수 있습니다.

| 심각도 |  금액(USD) |
|----------|------------------|
| 심각 | $1,000 - $2,000  |
| 높음     | $800             |
| 중간   | $500             |
| 낮음      | $100             |

중복 보고가 발생하면 완전히 재현할 수 있는 첫 번째 보고서에 보상을 제공합니다.

하나의 근본적인 문제로 인해 발생하는 여러 취약성에는 하나의 바운티 보상만 제공됩니다. 검증 완료 시 바운티 보상을 제공하며 이를 해결하기 위해 노력하는 동안 진행 상황을 계속 알려드립니다. 때로는 취약성 심각도를 조사하는 데 예상보다 더 많은 시간이 소요될 수 있으며 이에 바운티 보상이 나중에 지급될 수 있습니다.

버그를 조사할 때는 여러분의 계정으로만 테스트하며 소유자의 동의 없이 다른 계정과 상호 작용하지 마십시오.

보상

[엑솔라 지갑](https://wallet.xsolla.com/) 으로 더 빠른 채팅 지원을 받으세요. 너무 오래 기다릴 필요가 없어요.

도움이 필요하신가요?

시작하려면 Xsolla 계정에 로그인하세요!

0MB 이하의 파일만 업로드해 주세요.

파일 크기 제한을 초과했습니다.

MP4, MOV, JPG, PNG 및 GIF 파일만 허용.

잘못된 파일 형식

감사합니다!

여기에 메시지를 입력하세요…

교환하는 경우 반품 주소를 변경할 수 없습니다.

요청을 처리한 후 귀하의 이메일 주소로 회신을 보내드리겠습니다.

취약성	심각도 범위
원격 코드 실행	심각
SQL 인젝션	높음 - 심각
XXE	높음 - 심각
스토어드 XSS	중간 - 높음
서버 측 요청 위조(SSRF)	높음 - 심각
디렉터리 접근공격 - 로컬 파일 포함(LFI)	높음
인증/인증 우회(취약한 접근 제어)	중간 - 높음
권한 상승	중간 - 높음
취약한 직접 객체 참조(IDOR)	중간 - 높음
반영된 크로스 사이트 스크립팅	중간
잘못된 구성	낮음 - 높음
웹 캐시 디셉션	낮음 - 중간
잘못된 구성의 CORS	낮음 - 중간
CRLF 인젝션	낮음 - 중간
크로스 사이트 요청 위조(CSRF)	낮음 - 중간
오픈 리디렉션	낮음 - 중간
정보 공개	낮음 - 중간