Ao enviar um relatório de erros, você concorda em cumprir com a [Política do Programa de Recompensas Xsolla](https://help.xsolla.com/ru/xsolla-bounty-program-terms-and-conditions), que proíbe a divulgação tanto pública quanto privada de qualquer vulnerabilidade ou detalhes dos erros relatados à Xsolla. 

Ao participar neste programa, você concorda em aderir às regras e condições acima. Todas as regras devem ser seguidas para ser elegível às recompensas.

Para aprimorar a segurança dos relatórios enviados, nós **NÃO aceitamos mais materiais de Prova-de-Conceito fornecidos via links externos (tais como YouTube, Google Drive, Streamlabs)**, pois essa pode ser considerada uma violação das Regras do Programa.

Por favor, envie vídeos\\capturas de tela\\imagens diretamente pelo formulário de envio. Nesse momento, arquivos de **PDC NÃO devem exceder 25 MB de tamanho, nem 7 minutos de duração**. Você pode encurtar ou comprimir arquivos como necessário para cumprir esses requisitos.

RELATAR ENVIO

Regras

#### EM ESCOPO
O programa se limita às versões de internet e móveis do site da Xsolla. Nossos perfis do Facebook, Twitter, LinkedIn, Reddit, etc. e dos nossos parceiros não se qualificam.

Elegível para a recompensa:

*.xsolla.com (accelerator.xsolla.com excluído)

80.lv

story3.com

golightstream.com (rainmaker.gg excluído) 

api.stream

##### VULNERABILIDADES ELEGÍVEIS

| VULNERABILIDADE |  FAIXA DE SEVERIDADE |
|----------|------------------|
| Execução de Código Remoto | Crítica  |
| Injeção SQL  | Alta - Crítica |
|  Ataque XXE   | Alta - Crítica    |
| XSS Armazenado   | Média - Alta       |
| Falsificação de Solicitação Server-Side | Alta - Crítica  |
| Travessia de Diretório - Inclusão de Arquivo Local | Alta             |
| Autenticação/Contorno de Autorização (Controle de Acesso Falho)  | Média - Alta        |
| Referência de Objeto Direto Inseguro | Média - Alta |
| Cross-site Scripting (XSS) Refletido  | Média             |
|  Configuração Incorreta   | Baixa - Alta |
| Fraude de Web Cache   | Baixa - Média        |
| Configuração Incorreta de CORS | Baixa - Média |
| Injeção CRLF    | Baixa - Média             |
| Falsificação de Solicitação Cross-site  | Baixa - Média      |
| Redirecionamento Aberto    | Baixa - Média  |
| Divulgação de Informação    | Baixa - Média         |
| Escalonamento de Privilégio    | Média - Alta         |

Em Escopo

#### POLÍTICA DE DIVULGAÇÃO RESPONSÁVEL
Acreditamos que divulgar as falhas com propósitos que sejam diferentes da devida correção do erro seja contra o espírito deste programa. Independentemente de a vulnerabilidade ser listada como [In Scope](https://help.xsolla.com/en/rules/in-scope), ou ter sido descoberta em [sites elegíveis](https://help.xsolla.com/en/rules/in-scope) ou outros sites da Xsolla, os participantes concordam em não divulgar nem relatar qualquer vulnerabilidade por qualquer outro meio além do envio do formulário fornecido nas [Regras de Engajamento](https://help.xsolla.com/en/rules/rules-of-engagement), e também concorda em não divulgar tais vulnerabilidades a nenhum terceiro.

Faremos o nosso melhor para responder ao seu envio o mais rápido possível, e concederemos uma recompensa quando for apropriado.

Não invada as contas dos usuários, corrompa bancos de dados ou vaze informações que podem ser confidenciais. Também desencorajamos testes que deteriorem a qualidade do serviço dos nossos usuários.

Política de Divulgação Responsável

#### PAGAMENTOS
Você pode escolher receber os fundos em sua conta PayPal. Nesse caso, você terá de confirmar que a conta PayPal fornecida é sua conta pessoal.

Você também pode escolher receber a quantia como crédito em qualquer um dos jogos distribuídos pela Xsolla. Nesse caso, solicitaremos seu apelido/e-mail associado à conta.



Pagamentos

#### FORA DE ESCOPO
- Melhores Práticas de Segurança, como Cabeçalhos de Segurança, etc.
- Engenharia Social, Phising
- Ataques Físicos
- Bandeiras de Cookie Faltantes
- Falsificação de Solicitação Entre Sites (CRSF) com impacto mínimo. Exemplo: CSRF de login, CSRF de logout, etc.
- Golpe de Conteúdo
- Rastreamento de Stack, Divulgação de Diretório, Listagem de Diretórios
- Melhores Práticas SSL/TLS
- Banner Grabbing
- Injeção CSV
- Download de Arquivo Refletido
- Relatórios de Navegadores Desatualizados
- DOS/DDOS (Incluindo falta de Limites de Taxas e restrições de tamanho de arquivos)
- Injeção de cabeçalho hospedado sem um impacto demonstrável
- Resultados de Scanners
- Vulnerabilidades de Produtos de Terceiros
- Enumeração de Usuários
- Complexidade de Senhas
- Método de Rastreamento HTTP
- Problemas encontrados em softwares de terceiros usados pela Xsolla
- Clickjacking
- Self-XSS   
- Golpe por e-mail - Má configuração de registros de SPF
- Abrir redirecionamento com injeção de header no host
- Divulgação de endereços IP privados

Relatórios sobre:
- Um pagamento sendo recusado ou não sendo concluído.
- Um reembolso que não foi aprovado, ou os fundos ainda não chegaram na sua conta.
- O sistema de pagamento que você gostaria de usar está temporariamente indisponível ou não tem a cobertura da sua região/operadora de telefone.
- Você ainda não recebeu a compra ou o bonus associado à ela.
- Problemas relacionados a períodos de desativamento agendados ou não, erros de conexão, etc.
- Erros encontrados em nossos perfis no Facebook, Twitter, LinkedIn, Reddit, etc. e nos sites dos nossos parceiros.

Para esses e outros erros relacionados a pagamentos, entre em contato com a nossa equipe de Suporte a qualquer hora do dia, qualquer dia da semana, via help.xsolla.com.

Fora de Escopo

#### RECOMPENSAS
Nossas recompensas são baseadas no nível de impacto da vulnerabilidade. Nós usamos o método CVSS 3.1 (Common Vulnerability Scoring Standard) para calcular a severidade.

Podemos pagar mais por erros diferenciados e difíceis de se encontrar, ou por relatórios de alta qualidade; também podemos pagar menos por erros com pré-requisitos complexos que diminuam o risco da vulnerabilidade.

Observe, porém, que as decisões sobre as recompensas ficam a critério da Xsolla. Certos problemas podem ser classificados como sendo de baixo impacto devido a sistemas de compensação e outros contextos.

As quantias exibidas na tabela devem ser consideradas como a quantia MÁXIMA para cada nível de severidade, embora bônus podem ser concedidos a critério da Xsolla.


| SEVERIDADE |  QUANTIA (EM USD) |
|----------|------------------|
| Crítica | $1,000 - $2,000  |
| Alta     | $800             |
| Média   | $500             |
| Baixa      | $100             |

Quando ocorrem duplicatas, concedemos a recompensa ao primeiro relatório que conseguirmos reproduzir.

Múltiplas vulnerabilidades decorrentes de um único problema principal são elegíveis a apenas uma recompensa, que será concedida ao primeiro relatório que revelar o problema. Recompensas são concedidas ao serem validadas. Às vezes, investigar a severidade da vulnerabilidade pode demorar, e a recompensa será paga posteriormente.

Teste apenas com as suas próprias contas ao investigar erros, e não interaja com outras contas, nem engage em ações que possam prejudicar outros usuários ou violar a privacidade deles. Todas as regras devem ser seguidas para ser elegível à recompensa.

Recompensas

#### REGRAS DE ENGAJAMENTO
Envie um [formulário](#form) abaixo com um relatório detalhado. Esse relatório deve incluir informações claras sobre os problemas de segurança e o impacto causado por eles. Relatórios sem uma Prova de Conceito (PdC) reproduzível serão fechados como informativos.

Seu relatório deve incluir o máximo possível das seguintes informações:
- Link para a página que contém o erro ou produtos/sites afetados (se aplicável)
- Tipo de erro
- Instruções passo a passo de como reproduzir e validar o erro
- Impacto (por que você acredita que isso é um erro e qual tipo de problema ou dano é causado)
- Recomendações para a correção/melhoria

Siga o seguinte ao enviar o relatório:
- Não tente conduzir abusos posteriores, incluindo a modificação ou destruição de dados, e a interrupção ou degradação dos serviços da Xsolla
- Não tente executar ataques de força bruta, ataques denial-of-service, comprometer ou testar as contas da Xsolla que não sejam suas
- Não tente atacar os funcionários da Xsolla ou seus clientes, incluindo ataques de engenharia social, phising ou ataques físicos
- Não execute ataques físicos contra qualquer instalação da Xsolla

Certifique-se de usar a linha Usuário-Agente xsolla-bugbounty-%your-email-before@% ao realizar testes

É permitido o uso limitado de scanners/ferramentas automatizadas com o Usuário-Agente acima aplicado e os scanners/ferramentas devem ser configurados para não enviarem mais de 15 solicitações por segundo a qualquer serviço em particular

Observe que o uso das ferramentas de escaneamento sem a linha Usuário-Agente acima resultará no bloqueio da sua conta/IP por nossas proteções automatizadas. Restaurar esses dados pode levar tempo, então certifique-se de incluir a informação.

Uma vez enviado, reconheceremos o recebimento do seu relatório com uma resposta automatizada para pedir por mais informações, caso sejam necessárias, e continuaremos nossa conversa por e-mail quando/se aplicável.
Nós vamos então revisar as informações e trabalharmos para validar o erro relatado. Caso um verdadeiro erro seja descoberto, vamos notificar você.


Regras de Engajamento

Obtenha suporte mais rápido via chat em sua conta da [Carteira Xsolla](https://account.xsolla.com/).

Precisa de ajuda?

Acesse sua Conta Xsolla para começar!

O arquivo excede o limite de tamanho.

Apenas arquivos MP4, MOV, JPG, PNG e GIF são permitidos.

Tipo de arquivo inválido.

Obrigado!

Em caso de substituição, seu endereço para a devolução não poderá ser alterado.

Enviaremos uma resposta ao seu endereço de e-mail assim que processarmos essa solicitação

VULNERABILIDADE	FAIXA DE SEVERIDADE
Execução de Código Remoto	Crítica
Injeção SQL	Alta - Crítica
Ataque XXE	Alta - Crítica
XSS Armazenado	Média - Alta
Falsificação de Solicitação Server-Side	Alta - Crítica
Travessia de Diretório - Inclusão de Arquivo Local	Alta
Autenticação/Contorno de Autorização (Controle de Acesso Falho)	Média - Alta
Referência de Objeto Direto Inseguro	Média - Alta
Cross-site Scripting (XSS) Refletido	Média
Configuração Incorreta	Baixa - Alta
Fraude de Web Cache	Baixa - Média
Configuração Incorreta de CORS	Baixa - Média
Injeção CRLF	Baixa - Média
Falsificação de Solicitação Cross-site	Baixa - Média
Redirecionamento Aberto	Baixa - Média
Divulgação de Informação	Baixa - Média
Escalonamento de Privilégio	Média - Alta