УЧАСТВУЮТ В ПРОГРАММЕ

Программа распространяется только на веб-версию и мобильную версию сайта Иксоллы. Наши профили в Facebook, Twitter, LinkedIn, Reddit и т. д., а также сайты наших партнеров не участвуют в программе Bug Bounty.

Сайты, которые участвуют в программе:

*.xsolla.com

80.lv

story3.com

golightstream.com (rainmaker.gg не входит в программу Bug Bounty)

api.stream

УЯЗВИМОСТИ, КОТОРЫЕ УЧАСТВУЮТ В ПРОГРАММЕ
УЯЗВИМОСТЬУРОВЕНЬ СЕРЬЕЗНОСТИ
Удаленное выполнение кода (RCE)Критический
Внедрение SQL-кодаВысокий - Критический
Эксплуатация уязвимостей eXternal Entity XML (XXE)Высокий - Критический
Хранимый (постоянный) межсайтовый скриптинг (Stored XSS)Средний - Высокий
Подделка запроса на стороне сервераВысокий - Критический
Обход каталога - Включение локальных файловВысокий
Обход аутентификации/авторизации (нарушенный контроль доступа)Средний - Высокий
Повышение привилегийСредний - Высокий
IDOR-уязвимости (небезопасные прямые ссылки на объекты)Средний - Высокий
Отраженный межсайтовый скриптинг (Reflected XSS)Средний
Небезопасная конфигурацияНизкий - Высокий
Фальсификация веб-кешаНизкий - Средний
Небезопасный CORSНизкий - Средний
CRLF-уязвимостиНизкий - Средний
Межсайтовая подделка запроса (XSRF)Низкий - Средний
Открытое перенаправлениеНизкий - Средний
Раскрытие информацииНизкий - Средний
НАПИШИТЕ НАМ
ОТПРАВКА ОТЧЕТА

Отправляя отчет об ошибке, вы соглашаетесь соблюдать Политику Программы Bug Bounty, которая запрещает публичное или частное разглашение сведений о какой-либо уязвимости или ошибке Xsolla вплоть до истечения 30 дней после исправления ошибки.

Участвуя в данной программе, вы соглашаетесь соблюдать все вышеупомянутые правила и условия. Необходимо соблюдать все правила, чтобы получить вознаграждение.

Обязательно используйте строку User-Agent при тестировании:xsolla-bugbounty-%your-email-before@%Узнать больше...
Примерное время ответа: 48 часов