Программа распространяется только на веб-версию и мобильную версию сайта Иксоллы. Наши профили в Facebook, Twitter, LinkedIn, Reddit и т. д., а также сайты наших партнеров не участвуют в программе Bug Bounty.
Сайты, которые участвуют в программе:
*.xsolla.com (accelerator.xsolla.com не входит в программу Bug Bounty)
80.lv
story3.com
golightstream.com (rainmaker.gg не входит в программу Bug Bounty)
api.stream
| УЯЗВИМОСТЬ | УРОВЕНЬ СЕРЬЕЗНОСТИ |
|---|---|
| Удаленное выполнение кода (RCE) | Критический |
| Внедрение SQL-кода | Высокий - Критический |
| Эксплуатация уязвимостей eXternal Entity XML (XXE) | Высокий - Критический |
| Хранимый (постоянный) межсайтовый скриптинг (Stored XSS) | Средний - Высокий |
| Подделка запроса на стороне сервера | Высокий - Критический |
| Обход каталога - Включение локальных файлов | Высокий |
| Обход аутентификации/авторизации (нарушенный контроль доступа) | Средний - Высокий |
| IDOR-уязвимости (небезопасные прямые ссылки на объекты) | Средний - Высокий |
| Отраженный межсайтовый скриптинг (Reflected XSS) | Средний |
| Небезопасная конфигурация | Низкий - Высокий |
| Фальсификация веб-кеша | Низкий - Средний |
| Небезопасный CORS | Низкий - Средний |
| CRLF-уязвимости | Низкий - Средний |
| Межсайтовая подделка запроса (XSRF) | Низкий - Средний |
| Открытое перенаправление | Низкий - Средний |
| Раскрытие информации | Низкий - Средний |
| Повышение привилегий | Средний - Высокий |
Отправляя отчет об уязвимости, вы соглашаетесь соблюдать Политику Программы Bug Bounty, которая запрещает публичное или частное разглашение сведений о какой-либо уязвимости или ошибке Иксоллы.
Участвуя в данной программе, вы соглашаетесь соблюдать все вышеупомянутые правила и условия. Необходимо соблюдать все правила, чтобы получить вознаграждение.
Чтобы повысить безопасность отправляемых отчётов, мы БОЛЬШЕ НЕ ПРИНИМАЕМ материалы Proof-of-Concept, предоставленные через внешние ссылки (например, YouTube, Google Drive, Streamlabs), так как это может рассматриваться как нарушение правил Программы.
Пожалуйста, загружайте видео / скриншоты / изображения напрямую через форму отправки. На данный момент файлы не должны превышать 25 МБ по размеру и 7 минут по длительности. При необходимости вы можете сократить или сжать файлы, чтобы они соответствовали этим требованиям.