Ao enviar um relatório de erro você concorda em cumprir com a [Política do Programa de Recompensas da Xsolla](/pt/xsolla-bounty-program-terms-and-conditions), que proíbe divulgação pública ou privada de dados sobre qualquer vulnerabilidade ou erro na Xsolla antes de 30 dias após a correção do erro.

Ao participar nesse programa, você concorda em cumprir com as regras e condições acima. Todas as regras devem ser seguidas para que você seja elegível às recompensas.



RELATAR ENVIO

Regras

#### EM ESCOPO
O programa se limita às versões de internet e móveis do site da Xsolla. Nossos perfis do Facebook, Twitter, LinkedIn, Reddit, etc. e dos nossos parceiros não se qualificam.

Elegível para a recompensa:

*.xsolla.com

80.lv

story3.com

golightstream.com (rainmaker.gg excluído) 

api.stream

##### VULNERABILIDADES ELEGÍVEIS

| VULNERABILIDADE |  FAIXA DE SEVERIDADE |
|----------|------------------|
| Execução de Código Remoto | Crítica  |
| Injeção SQL  | Alta - Crítica |
|  Ataque XXE   | Alta - Crítica    |
| XSS Armazenado   | Média - Alta       |
| Falsificação de Solicitação Server-Side | Alta - Crítica  |
| Travessia de Diretório - Inclusão de Arquivo Local | Alta             |
| Autenticação/Contorno de Autorização (Controle de Acesso Falho)  | Média - Alta        |
| Escalonamento de Privilégio  | Média - Alta       |
| Referência de Objeto Direto Inseguro | Média - Alta |
| Cross-site Scripting (XSS) Refletido  | Média             |
|  Configuração Incorreta   | Baixa - Alta |
| Fraude de Web Cache   | Baixa - Média        |
| Configuração Incorreta de CORS | Baixa - Média |
| Injeção CRLF    | Baixa - Média             |
| Falsificação de Solicitação Cross-site  | Baixa - Média      |
| Redirecionamento Aberto    | Baixa - Média  |
| Divulgação de Informação    | Baixa - Média         |

Em Escopo

#### POLÍTICA DE DIVULGAÇÃO RESPONSÁVEL
Acreditamos que divulgar as falhas por qualquer propósito diferente da correção do erro seja contra o espírito desse programa. Os participantes concordam não divulgar os erros encontrados até 30 dias após sua correção, e em coordenar a divulgação com nossa equipe por e-mail para evitar confusões.

Faremos o nosso melhor para responder ao seu envio assim que possível, atualizá-lo sobre a correção, e premiá-lo com uma recompensa quando apropriado.

Não invada contas de usuários, não corrompa bancos de dados e nem divulgue dados que possam ser pessoais. Também desencorajamos testes que prejudiquem a qualidade do serviço de outros usuários.

Política de Divulgação Responsável

#### PAGAMENTOS
Você pode escolher receber os fundos em sua conta PayPal. Nesse caso, você terá de confirmar que a conta PayPal fornecida é sua conta pessoal.

Você também pode escolher receber a quantia como crédito em qualquer um dos jogos distribuídos pela Xsolla. Nesse caso, solicitaremos seu apelido/e-mail associado à conta.



Pagamentos

#### FORA DE ESCOPO
- Melhores Práticas de Segurança, como Cabeçalhos de Segurança, etc.
- Engenharia Social, Phising
- Ataques Físicos
- Bandeiras de Cookie Faltantes
- Falsificação de Solicitação Entre Sites (CRSF) com impacto mínimo. Exemplo: CSRF de login, CSRF de logout, etc.
- Golpe de Conteúdo
- Rastreamento de Stack, Divulgação de Diretório, Listagem de Diretórios
- Melhores Práticas SSL/TLS
- Banner Grabbing
- Injeção CSV
- Download de Arquivo Refletido
- Relatórios de Navegadores Desatualizados
- DOS/DDOS (Incluindo falta de Limites de Taxas e restrições de tamanho de arquivos)
- Injeção de cabeçalho hospedado sem um impacto demonstrável
- Resultados de Scanners
- Vulnerabilidades de Produtos de Terceiros
- Enumeração de Usuários
- Complexidade de Senhas
- Método de Rastreamento HTTP
- Problemas encontrados em softwares de terceiros usados pela Xsolla
- Clickjacking
- Self-XSS   
- Golpe por e-mail - Má configuração de registros de SPF
- Abrir redirecionamento com injeção de header no host

Relatórios sobre:
- Um pagamento sendo recusado ou não sendo concluído.
- Um reembolso que não foi aprovado, ou os fundos ainda não chegaram na sua conta.
- O sistema de pagamento que você gostaria de usar está temporariamente indisponível ou não tem a cobertura da sua região/operadora de telefone.
- Você ainda não recebeu a compra ou o bonus associado à ela.
- Problemas relacionados a períodos de desativamento agendados ou não, erros de conexão, etc.
- Erros encontrados em nossos perfis no Facebook, Twitter, LinkedIn, Reddit, etc. e nos sites dos nossos parceiros.

Para esses e outros erros relacionados a pagamentos, entre em contato com a nossa equipe de Suporte a qualquer hora do dia, qualquer dia da semana, via help.xsolla.com.

Fora de Escopo

#### RECOMPENSAS
Nossas recompensas são baseadas na severidade de uma vulnerabilidade. Nós usamos CVSS 3.1 (Common Vulnerability Scoring Standard) para calcular a severidade.

Podemos pagar mais pelos erros mais especiais e difíceis de serem encontrados, ou por relatórios de alta qualidade. Também podemos pagar menos por erros com pré-requisitos complexos que reduzem o risco de serem abusados.

Porém, observe que a decisão sobre as recompensas cabe apenas à Xsolla. Os problemas podem receber uma severidade mais baixa devido à presença de controles compensatórios e contexto.

As quantias exibidas na tabela devem ser consideradas como as quantias MÁXIMAS para cada nível de severidade, embora os bônus podem ser concedidos a critério da Xsolla.

| SEVERIDADE |  QUANTIA (EM USD) |
|----------|------------------|
| Crítica | $1,000 - $2,000  |
| Alta     | $800             |
| Média   | $500             |
| Baixa      | $100             |

Quando ocorrem duplicatas, concedemos prêmios ao primeiro relatório que consigamos reproduzir por completo.

Múltiplas vulnerabilidades causadas por um problema subjacente serão premiadas com uma recompensa. Concedemos recompensas no momento da validação e manteremos você atualizado conforme trabalhamos para resolvê-los. Embora algumas vezes possa levar mais tempo para investigar a severidade da vulnerabilidade e a recompensa será paga mais tarde.

Teste apenas utilizando sua(s) própria(s) conta(s) ao investigar erros, e não interaja com outras contas sem o consentimento de seus proprietários.


Recompensas

#### REGRAS DE ENGAJAMENTO
Envie um [formulário](#form) abaixo com um relatório detalhado. Esse relatório deve incluir informações claras sobre os problemas de segurança e o impacto causado por eles. Relatórios sem uma Prova de Conceito (PdC) reproduzível serão fechados como informativos.

Seu relatório deve incluir o máximo possível das seguintes informações:
- Link para a página que contém o erro ou produtos/sites afetados (se aplicável)
- Tipo de erro
- Instruções passo a passo de como reproduzir e validar o erro
- Impacto (por que você acredita que isso é um erro e qual tipo de problema ou dano é causado)
- Recomendações para a correção/melhoria

Siga o seguinte ao enviar o relatório:
- Não tente conduzir abusos posteriores, incluindo a modificação ou destruição de dados, e a interrupção ou degradação dos serviços da Xsolla
- Não tente executar ataques de força bruta, ataques denial-of-service, comprometer ou testar as contas da Xsolla que não sejam suas
- Não tente atacar os funcionários da Xsolla ou seus clientes, incluindo ataques de engenharia social, phising ou ataques físicos
- Não execute ataques físicos contra qualquer instalação da Xsolla

Certifique-se de usar a linha Usuário-Agente xsolla-bugbounty-%your-email-before@% ao realizar testes

É permitido o uso limitado de scanners/ferramentas automatizadas com o Usuário-Agente acima aplicado e os scanners/ferramentas devem ser configurados para não enviarem mais de 15 solicitações por segundo a qualquer serviço em particular

Observe que o uso das ferramentas de escaneamento sem a linha Usuário-Agente acima resultará no bloqueio da sua conta/IP por nossas proteções automatizadas. Restaurar esses dados pode levar tempo, então certifique-se de incluir a informação.

Uma vez enviado, reconheceremos o recebimento do seu relatório com uma resposta automatizada para pedir por mais informações, caso sejam necessárias, e continuaremos nossa conversa por e-mail quando/se aplicável.
Nós vamos então revisar as informações e trabalharmos para validar o erro relatado. Caso um verdadeiro erro seja descoberto, vamos notificar você.


Regras de Engajamento

Obtenha suporte mais rápido via chat em sua conta da [Carteira Xsolla](https://account.xsolla.com/).

Precisa de ajuda?

Acesse sua Conta Xsolla para começar!

O arquivo excede o limite de tamanho.

Apenas arquivos MP4, MOV, JPG, PNG e GIF são permitidos.

Tipo de arquivo inválido.

Obrigado!

Em caso de substituição, seu endereço para a devolução não poderá ser alterado.

Enviaremos uma resposta ao seu endereço de e-mail assim que processarmos essa solicitação

VULNERABILIDADE	FAIXA DE SEVERIDADE
Execução de Código Remoto	Crítica
Injeção SQL	Alta - Crítica
Ataque XXE	Alta - Crítica
XSS Armazenado	Média - Alta
Falsificação de Solicitação Server-Side	Alta - Crítica
Travessia de Diretório - Inclusão de Arquivo Local	Alta
Autenticação/Contorno de Autorização (Controle de Acesso Falho)	Média - Alta
Escalonamento de Privilégio	Média - Alta
Referência de Objeto Direto Inseguro	Média - Alta
Cross-site Scripting (XSS) Refletido	Média
Configuração Incorreta	Baixa - Alta
Fraude de Web Cache	Baixa - Média
Configuração Incorreta de CORS	Baixa - Média
Injeção CRLF	Baixa - Média
Falsificação de Solicitação Cross-site	Baixa - Média
Redirecionamento Aberto	Baixa - Média
Divulgação de Informação	Baixa - Média