버그 보고서를 제출함으로써 귀하는 엑솔라와 관련된 취약성 또는 버그 세부 정보의 공개 및 비공개 내용의 공개를 금지하는 [엑솔라 포상금 프로그램 정책](https://help.xsolla.com/ru/xsolla-bounty-program-terms-and-conditions) 준수에 동의하게 됩니다.

이 프로그램에 참여함으로써 귀하는 위의 규칙과 조건 준수에 동의하게 됩니다. 보상을 받으려면 모든 규칙을 준수해야 합니다.

제출된 보고서의 보안을 강화하기 위해, **더 이상 외부 링크(예: YouTube, Google Drive, Streamlabs)를 통해 제공되는 개념 증명(Proof-of-Concept) 자료를 허용하지 않습니다.** 프로그램 규칙 위반으로 간주될 수 있습니다.

동영상, 스크린샷, 사진을 제출 양식을 통해 직접 업로드해 주십시오. **현재 POC 파일은 크기가 25MB를 초과하거나 재생 시간이 7분을 넘으면 안 됩니다**. 이 요건을 충족하기 위해 필요에 따라 파일을 짧게 편집하거나 압축해도 됩니다.

보고서 제출

규정

#### 범위 내
본 프로그램은 엑솔라 웹 사이트의 웹 및 모바일 버전으로 제한됩니다. Facebook, Twitter, Linkedin, Reddit 등의 프로필과 파트너 웹 사이트는 자격이 없습니다.

바운티 보상 대상:

*.xsolla.com (accelerator.xsolla.com 제외 된)

80.lv

story3.com

golightstream.com (rainmaker.gg 제외 된) 

api.stream


##### 적격한 취약성

| 취약성 |  심각도 범위 |
|----------|------------------|
| 원격 코드 실행 | 심각  |
| SQL 인젝션 | 높음 - 심각 |
|  XXE   | 높음 - 심각   |
|  스토어드 XSS    | 중간 - 높음           |
| 서버 측 요청 위조(SSRF) | 높음 - 심각  |
| 디렉터리 접근공격 - 로컬 파일 포함(LFI)  | 높음             |
| 인증/인증 우회(취약한 접근 제어)  | 중간 - 높음          |
| 취약한 직접 객체 참조(IDOR) | 중간 - 높음 |
| 반영된 크로스 사이트 스크립팅    | 중간  |
|  잘못된 구성   | 낮음 - 높음       |
| 웹 캐시 디셉션      | 낮음 - 중간         |
| 잘못된 구성의 CORS | 낮음 - 중간  |
| CRLF 인젝션     | 낮음 - 중간      |
| 크로스 사이트 요청 위조(CSRF)   | 낮음 - 중간          |
| 오픈 리디렉션   | 낮음 - 중간 |
| 정보 공개    | 낮음 - 중간         |
| 권한 상승    | 중간 - 높음         |

범위 내

#### 참여 규정
자세한 보고서와 함께 아래의 양식[링크](#form)을 제출하세요. 이 보고서에는 보안 문제와 문제의 영향에 대한 명확한 정보가 포함되어 있어야 합니다. 재현 가능한 PoC가 없는 보고서는 정보 제공으로 마감됩니다.

보고서에는 다음과 같은 내용이 가능한 한 많이 포함되어 있어야 합니다:
- 버그 또는 영향을 받는 제품/웹 사이트가 포함된 페이지 링크(해당되는 경우)
- 버그의 유형
- 버그를 재현하고 검증하기 위한 단계별 지침
- 영향(버그라고 생각하는 이유와 이로 인해 발생하는 문제 또는 피해)
- 수정/개선을 위한 권장 사항

보고서를 제출하는 동안 다음을 따르세요.
- 데이터 수정 또는 파괴, 엑솔라 서비스 중단 또는 성능 저하 등 사후 악용을 시도하지 마십시오
- 무차별 암호 대입 공격, 서비스 거부 공격, 본인의 계정이 아닌 엑솔라 계정 손상 또는 테스트를 시도하지 마십시오
- 엑솔라 직원 또는 고객을 대상으로 사회 공학 공격, 피싱 공격 또는 물리 공격 등을 시도하지 마십시오
- 엑솔라 시설에 물리 공격을 가하지 마십시오

테스트하는 동안 사용자 에이전트 문자열 xsolla-bug bounty-%your-email-before@% 를 사용해야 합니다.

위의 사용자 에이전트가 적용된 자동화 스캐너/도구의 제한된 사용은 허용되며 스캐너/도구는 특정 서비스에 초당 15개 이상의 요청을 보내지 않도록 구성되어야 합니다.

위의 사용자 에이전트 문자열 없이 스캐닝 도구를 사용하면 자동 보호 기능에 의해 계정/IP가 차단될 수 있습니다. 이러한 항목을 복원하는 데 시간이 걸릴 수 있으므로 사용자 에이전트 문자열을 포함해야 합니다.

제출이 완료되면 필요한 경우 추가 정보를 요청하는 자동 회신과 함께 귀하의 보고서를 수신했음을 확인드리며, 해당되는 경우 이메일을 통해 대화를 계속 이어나갈 것입니다.
그런 다음 저희는 정보를 검토하고 보고된 버그를 검증하기 위해 노력할 것입니다. 실제 버그가 발견되는 경우 다시 알려드리겠습니다.


참여 규정

#### 책임 공개 정책
엑솔라는 실제로 버그를 수정하는 것 이외의 목적으로 결함을 공개하는 것은 이 프로그램의 정신에 위배된다고 생각합니다. 취약점이 [범위](https://help.xsolla.com/en/rules/in-scope)에 나열되어 있거나 [적격 웹사이트](https://help.xsolla.com/en/rules/in-scope) 또는 기타 엑솔라 웹사이트에서 확인 가능 여부에 관계없이, 참여자는 확인된 취약점을 [참여 규칙](https://help.xsolla.com/en/rules/rules-of-engagement)에 제공된 양식 제출 이외의 방법으로 공개하거나 보고하지 않을 것에 동의하며, 또한 그러한 취약점을 제3자에게 공개하지 않을 것에도 동의하게 됩니다.

제출해 주신 내용에 최대한 신속하게 대응하고 적절한 경우 포상금을 지급하기 위해 최선을 다하겠습니다.

사용자 계정을 해킹하거나 데이터베이스를 손상하거나 민감한 데이터를유출하지 마십시오. 또한 사용자의 서비스 품질을 저하시키는 테스트는 권장하지 않습니다.

책임 공개 정책

#### 결제
PayPal 계정으로 자금을 수령하도록 선택할 수 있으며, 이 경우 제공하는 PayPal 계정이 본인의 개인 계정임을 확인해야 합니다.

엑솔라가 배포하는 모든 게임에 사용할 수 있는 크레딧으로 받도록 선택할 수도 있습니다. 이 경우 계정과 연결된 닉네임/이메일을 요청합니다.

결제

#### 범위를 벗어남
- 보안 모범 사례(예: 보안 헤더 등)
- 사회 공학, 피싱
- 물리 공격
- 쿠키 플래그 누락
- 최소한의 영향을 미치는 CSRF(예: 로그인 CSRF, 로그아웃 CSRF 등)
- 콘텐츠 스푸핑
- 스택 추적, 경로 공개, 디렉터리 목록
- SSL/TLS 모범 사례
- 배너 그래빙
- CSV 인젝션
- 반영된 파일 다운로드
- 오래된 브라우저에 대한 보고서
- DOS/DDOS(속도 제한 및 파일 크기 제한 없음 포함)
- 명백한 영향이 없는 호스트 헤더 인젝션
- 스캐너 출력
- 타사 제품의 취약성
- 사용자 열거
- 암호 복잡성
- HTTP 추적 방법
- Xsolla에서 사용하는 타사 소프트웨어에서 발견된 문제
- 클릭재킹
- 셀프 XSS
- 이메일 스푸핑 - 잘못된 구성의 SPF 레코드 
- 호스트 헤더 인젝션을 통한 오픈 리디렉션
- 사설 IP 주소 공개

보고됨:
- 결제가 거부되었거나 진행되고 있지 않습니다.
- 승인되지 않은 환불이거나 귀하의 계정에 아직 입금되지 않았습니다.
- 사용하려는 결제 시스템을 일시적으로 사용할 수 없거나 해당 지역/이동통신사에서 사용할 수 없습니다.
- 구매 항목 또는 이와 관련된 보너스를 받지 못했습니다.
- 예정되거나 예정되지 않은 다운타임, 연결 문제 등과 관련된 문제.
- Facebook, Twitter, Linkedin, Reddit 등의 프로필과 파트너 웹 사이트에서 발견된 결함.

이러한 문제 및 기타 결제 관련 문제는 help.xsolla.com을 통해 24시간 연중무휴로 운영되는 고객 서비스 팀에 문의해주세요.

범위를 벗어남

#### 보상
보상은 취약점의 심각도에 따라 결정됩니다. 심각도 계산에는 CVSS 3.1(공통 취약점 점수 기준)이 사용됩니다.

찾기 어려운 고유한 버그나 고품질 보고서는 더 많은 비용을 지급받을 수 있으며, 악용 위험을 낮추는 복잡한 전제 조건이 있는 버그는 비용을 더 적게 지급받을 수 있습니다.

보상은 엑솔라의 재량으로 결정된다는 점에 유의해 주시기 바랍니다. 보상 통제 및 맥락의 존재로 인해 문제의 심각도는 낮아질 수 있습니다.

표에 표시된 금액은 각 심각도 수준에 대한 최대 금액으로 간주되어야 하며, 엑솔라의 재량에 따라 보너스가 제공될 수 있습니다.

| 심각도 |  금액(USD) |
|----------|------------------|
| 심각 | $1,000 - $2,000  |
| 높음     | $800             |
| 중간   | $500             |
| 낮음      | $100             |

중복이 발생하면 완전히 재현할 수 있는 첫 번째 보고서에 보상을 제공합니다.

하나의 근본적인 문제에서 비롯된 여러 취약점은 하나의 포상금만 받을 수 있으며, 문제를 처음 발견한 신고자에게 지급됩니다. 포상금은 확인이 완료된 후 지급됩니다. 취약점의 심각도를 조사하는 데 시간이 오래 걸릴 수 있으며 포상금이 나중에 지급될 수도 있습니다.

버그를 조사할 때는 자신의 계정으로만 테스트하고 다른 계정과 상호 작용하거나 다른 사용자에게 피해를 주거나 개인정보를 침해할 수 있는 행동을 해서는 안 됩니다. 모든 규정을 준수해야만 보상을 받을 수 있습니다.

보상

[엑솔라 지갑](https://wallet.xsolla.com/) 으로 더 빠른 채팅 지원을 받으세요. 너무 오래 기다릴 필요가 없어요.

도움이 필요하신가요?

시작하려면 Xsolla 계정에 로그인하세요!

0MB 이하의 파일만 업로드해 주세요.

파일 크기 제한을 초과했습니다.

MP4, MOV, JPG, PNG 및 GIF 파일만 허용.

잘못된 파일 형식

감사합니다!

여기에 메시지를 입력하세요…

교환하는 경우 반품 주소를 변경할 수 없습니다.

요청을 처리한 후 귀하의 이메일 주소로 회신을 보내드리겠습니다.

취약성	심각도 범위
원격 코드 실행	심각
SQL 인젝션	높음 - 심각
XXE	높음 - 심각
스토어드 XSS	중간 - 높음
서버 측 요청 위조(SSRF)	높음 - 심각
디렉터리 접근공격 - 로컬 파일 포함(LFI)	높음
인증/인증 우회(취약한 접근 제어)	중간 - 높음
취약한 직접 객체 참조(IDOR)	중간 - 높음
반영된 크로스 사이트 스크립팅	중간
잘못된 구성	낮음 - 높음
웹 캐시 디셉션	낮음 - 중간
잘못된 구성의 CORS	낮음 - 중간
CRLF 인젝션	낮음 - 중간
크로스 사이트 요청 위조(CSRF)	낮음 - 중간
오픈 리디렉션	낮음 - 중간
정보 공개	낮음 - 중간
권한 상승	중간 - 높음