Отправляя отчет об ошибке, вы соглашаетесь соблюдать [Политику Программы Bug Bounty](/ru/xsolla-bounty-program-terms-and-conditions), которая запрещает публичное или частное разглашение сведений о какой-либо уязвимости или ошибке Xsolla вплоть до истечения 30 дней после исправления ошибки.

Участвуя в данной программе, вы соглашаетесь соблюдать все вышеупомянутые правила и условия. Необходимо соблюдать все правила, чтобы получить вознаграждение.

ОТПРАВКА ОТЧЕТА

Правила

#### УЧАСТВУЮТ В ПРОГРАММЕ
Программа распространяется только на веб-версию и мобильную версию сайта Иксоллы. Наши профили в Facebook, Twitter, LinkedIn, Reddit и т. д., а также сайты наших партнеров не участвуют в программе Bug Bounty.

Сайты, которые участвуют в программе:

*.xsolla.com

80.lv

story3.com


##### УЯЗВИМОСТИ, КОТОРЫЕ УЧАСТВУЮТ В ПРОГРАММЕ

| УЯЗВИМОСТЬ |  УРОВЕНЬ СЕРЬЕЗНОСТИ |
|----------|------------------|
| Удаленное выполнение кода (RCE) | Критический  |
| Внедрение SQL-кода | Высокий - Критический |
|  Эксплуатация уязвимостей eXternal Entity XML (XXE) | Высокий - Критический | 
|  Хранимый (постоянный) межсайтовый скриптинг (Stored XSS)     | Средний - Высокий             |
| Подделка запроса на стороне сервера | Высокий - Критический  |
| Обход каталога - Включение локальных файлов     | Высокий             |
| Обход аутентификации/авторизации (нарушенный контроль доступа) | Средний - Высокий             |
| Повышение привилегий | Средний - Высокий |
| IDOR-уязвимости (небезопасные прямые ссылки на объекты) | Средний - Высокий |
| Отраженный межсайтовый скриптинг (Reflected XSS) | Средний |
| Небезопасная конфигурация | Низкий - Высокий |
| Фальсификация веб-кеша | Низкий - Средний |
| Небезопасный CORS | Низкий - Средний |
| CRLF-уязвимости | Низкий - Средний |
| Межсайтовая подделка запроса (XSRF) | Низкий - Средний |
| Открытое перенаправление | Низкий - Средний |
| Раскрытие информации | Низкий - Средний |

Участвуют в программе

#### УСЛОВИЯ ПРОГРАММЫ
Заполните [форму](#form) ниже с подробным отчетом. Он должен содержать детальную информацию о проблемах безопасности и их влиянии. Отчеты об уязвимостях, которые нельзя воспроизвести, будут закрыты как принятые к сведению.

Ваш отчет должен включать как можно больше информации из следующего списка:

- Ссылка на страницу, которая содержит ошибку или продукты/сайты Иксоллы, подверженные уязвимости (если доступно).
- Тип ошибки.
- Пошаговые инструкции по воспроизведению и проверки ошибки.
- Влияние (почему вы считаете, что это ошибка, и какие проблемы или повреждения она вызывает).
- Рекомендации по исправлению/улучшению.

При составлении отчета соблюдайте следующие правила:

- Не пытайтесь проводить пост-эксплуатацию, включая модификацию или уничтожение данных, а также прерывание или деградацию сервисов Иксоллы.
- Не пытайтесь проводить брутфорс-атаки, атаки типа «отказ в обслуживании», компрометацию или тестирование учетных записей других пользователей Иксоллы.
- Не пытайтесь атаковать сотрудников Иксоллы или ее пользователей, включая атаки с использованием социальной инженерии, фишинговые атаки или физические атаки.
- Не совершайте физических атак на какие-либо объекты Иксоллы.

Обязательно используйте строку User-Agent xsolla-bugbounty-%your-email-before@% при тестировании.

Ограниченное использование автоматизированных сканеров/инструментов разрешено только с применением вышеуказанной строки User-Agent, при этом сканеры/инструменты должны быть настроены так, чтобы не отправлять более 15 запросов в секунду к какому-либо конкретному сервису.

Обратите внимание, что использование инструментов сканирования без указанной выше строки User-Agent может привести к блокировке вашей учетной записи/IP-адреса автоматическими средствами защиты. Отмена блокировки может занять некоторое время, поэтому не забудьте проверить, что вы ввели эту строку.

После отправки  мы подтвердим получение отчета автоматическим ответом с запросом дополнительной информации, и продолжим наш диалог по электронной почте, когда/если это потребуется. После этого мы рассмотрим информацию и проверим ошибку, о которой вы сообщили. В случае подтверждения наличия ошибки мы уведомим вас.

Условия программы

#### НЕ УЧАСТВУЮТ В ПРОГРАММЕ
- Рекомендации по безопасности, например, заголовки безопасности
- Социальная инженерия, Фишинг
- Физические атаки
- Отсутствующие флаги файлов cookie
- Межсайтовая подделка запроса (CSRF) с минимальным влиянием, например, Login CSRF или Logout CSRF
- Подмена контента
- Трассировка стека, Раскрытие пути, Листинг директорий
- Лучшие практики SSL/TLS
- Захват баннера
- CSV-уязвимость
- Уязвимость с "отраженным" скачиванием файла
- Отчеты об устаревших браузерах
- DOS/DDOS (включая отсутствие ограничений по скорости и размеру файла)
- Внедрение HTTP-заголовка без доказанного влияния
- Вывод сканеров уязвимостей
- Уязвимости в сторонних продуктах
- Атака перечислением
- Сложность пароля
- Метод HTTP Trace
- Уязвимости в сторонних продуктах, используемых Иксоллой
- Clickjacking
- Межсайтовый скриптинг (Self XSS)
- Почтовая подмена - Неверная конфигурация SPF-записей

Отчеты по следующим темам:

- Платеж отклонен или не прошел.
- Возврат платежа не был одобрен или средства еще не поступили на ваш счет.
- Платежная система, которую вы хотите использовать, временно недоступна или недоступна для вашего региона/мобильного оператора.
- Вы не получили покупку или связанный с ней бонус.
- Проблемы, связанные с плановыми или внеплановыми техническими работами, проблемами с подключением и т. д.
- Проблемы, обнаруженные в наших профилях на Facebook, Twitter, LinkedIn, Reddit и т. д. и на сайтах наших партнеров.
По этим и другим вопросам, связанным с оплатой, обращайтесь в службу поддержки Иксоллы 24/7 по адресу help.xsolla.com.

Не участвуют в программе

#### ПОЛИТИКА ОТВЕТСТВЕННОГО РАСКРЫТИЯ ИНФОРМАЦИИ
Мы считаем, что раскрытие ошибок в иных целях, кроме как их исправления, противоречит духу программы Bug Bounty. Участники соглашаются не сообщать об обнаруженных ошибках в течение 30 дней после их исправления и согласовывать их раскрытие с нашей командой по электронной почте, чтобы избежать путаницы.

Мы сделаем все возможное, чтобы ответить на ваш отчет как можно скорее, держать вас в курсе исправлений и при необходимости назначить вам вознаграждение.

Пожалуйста, не взламывайте учетные записи пользователей, не портите базу данных и не выкладывайте конфиденциальные данные. Мы также препятствуем тестированию, которое ухудшает качество обслуживания наших пользователей.

Политика ответственного раскрытия информации

#### ПЛАТЕЖИ
Вы можете выбрать получение средств на счет PayPal — в этом случае вам необходимо подтвердить, что предоставленный счет PayPal привязан к вашему личному профилю. 

Вы также можете получить эту сумму в качестве баланса на аккаунт любой из игр, которые распространяет Иксолла. В этом случае мы запросим ваш ник или email-адрес, связанный с аккаунтом.


Платежи

#### ВОЗНАГРАЖДЕНИЯ
Сумма вознаграждения зависит от серьезности уязвимости. Для оценки мы используем CVSS 3.1 (Common Vulnerability Scoring Standard) — открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы.

Мы можем назначить большее вознаграждение за уникальные, трудно обнаруживаемые ошибки или за качественные и проработанные отчеты. Мы также можем понизить сумму вознаграждения, если для воспроизведения уязвимости требуется выполнить сложные условия, которые снижают риск ее эксплуатации.

Обратите внимание, что решения о вознаграждениях остаются на усмотрение Иксоллы. В зависимости от контекста и использования компенсационных мер, уязвимости могут быть отнесены к более низким уровням серьезности.

Суммы, указанные в таблице, следует рассматривать как МАКСИМАЛЬНЫЕ суммы вознаграждений для каждого уровня серьезности уязвимостей. Тем не менее Иксолла оставляет за собой право начислять дополнительные бонусы.

| УРОВЕНЬ СЕРЬЕЗНОСТИ |  СУММА (USD) |
|----------|------------------|
| Критический     | $1,000 - $2,000  |
| Высокий     | $800             |
| Средний     | $500             |
| Низкий     | $100             |

Вознаграждение за найденную уязвимость может быть выплачено только первому пользователю, сообщившему о ней, и только в случае успешного воспроизведения ошибки на стороне Иксоллы.

За множественные уязвимости, вызванные одной проблемой, будет выплачено одно вознаграждение. Мы проинформируем вас о присуждении вознаграждения по мере проверки. Некоторые уязвимости могут потребовать более детального разбора для воспроизведения — в таких случаях вознаграждение может быть выплачено позже.

При исследовании мы просим вас использовать собственные аккаунты и не предпринимать действий, которые могут навредить другим пользователям или нарушить их конфиденциальность.


Вознаграждения

Получите быструю помощь в вашем Xsolla Wallet аккаунте.

Нужна помощь?

Заходите скорее в аккаунт, мы все покажем!

Upload a file that has a max file size of 10mb.

File exceeds size limit.

Only MP4, MOV, JPG, PNG and GIF files are allowed.

Invalid file type

Расскажите, что пошло не так. Мы постараемся обновить статью.

Спасибо!

Введите свое сообщение…

В случае замены обратный адрес не может быть изменен.

Мы свяжемся с вами по электронной почте, как только обработаем запрос.

УЯЗВИМОСТЬ	УРОВЕНЬ СЕРЬЕЗНОСТИ
Удаленное выполнение кода (RCE)	Критический
Внедрение SQL-кода	Высокий - Критический
Эксплуатация уязвимостей eXternal Entity XML (XXE)	Высокий - Критический
Хранимый (постоянный) межсайтовый скриптинг (Stored XSS)	Средний - Высокий
Подделка запроса на стороне сервера	Высокий - Критический
Обход каталога - Включение локальных файлов	Высокий
Обход аутентификации/авторизации (нарушенный контроль доступа)	Средний - Высокий
Повышение привилегий	Средний - Высокий
IDOR-уязвимости (небезопасные прямые ссылки на объекты)	Средний - Высокий
Отраженный межсайтовый скриптинг (Reflected XSS)	Средний
Небезопасная конфигурация	Низкий - Высокий
Фальсификация веб-кеша	Низкий - Средний
Небезопасный CORS	Низкий - Средний
CRLF-уязвимости	Низкий - Средний
Межсайтовая подделка запроса (XSRF)	Низкий - Средний
Открытое перенаправление	Низкий - Средний
Раскрытие информации	Низкий - Средний