УЧАСТВУЮТ В ПРОГРАММЕ
Программа распространяется только на веб-версию и мобильную версию сайта Иксоллы. Наши профили в Facebook, Twitter, LinkedIn, Reddit и т. д., а также сайты наших партнеров не участвуют в программе Bug Bounty.
Сайты, которые участвуют в программе:
*.xsolla.com
80.lv
story3.com
golightstream.com (rainmaker.gg не входит в программу Bug Bounty)
api.stream
УЯЗВИМОСТИ, КОТОРЫЕ УЧАСТВУЮТ В ПРОГРАММЕ
| УЯЗВИМОСТЬ | УРОВЕНЬ СЕРЬЕЗНОСТИ |
|---|---|
| Удаленное выполнение кода (RCE) | Критический |
| Внедрение SQL-кода | Высокий - Критический |
| Эксплуатация уязвимостей eXternal Entity XML (XXE) | Высокий - Критический |
| Хранимый (постоянный) межсайтовый скриптинг (Stored XSS) | Средний - Высокий |
| Подделка запроса на стороне сервера | Высокий - Критический |
| Обход каталога - Включение локальных файлов | Высокий |
| Обход аутентификации/авторизации (нарушенный контроль доступа) | Средний - Высокий |
| Повышение привилегий | Средний - Высокий |
| IDOR-уязвимости (небезопасные прямые ссылки на объекты) | Средний - Высокий |
| Отраженный межсайтовый скриптинг (Reflected XSS) | Средний |
| Небезопасная конфигурация | Низкий - Высокий |
| Фальсификация веб-кеша | Низкий - Средний |
| Небезопасный CORS | Низкий - Средний |
| CRLF-уязвимости | Низкий - Средний |
| Межсайтовая подделка запроса (XSRF) | Низкий - Средний |
| Открытое перенаправление | Низкий - Средний |
| Раскрытие информации | Низкий - Средний |
НАПИШИТЕ НАМ
ОТПРАВКА ОТЧЕТАОтправляя отчет об ошибке, вы соглашаетесь соблюдать Политику Программы Bug Bounty, которая запрещает публичное или частное разглашение сведений о какой-либо уязвимости или ошибке Xsolla вплоть до истечения 30 дней после исправления ошибки.
Участвуя в данной программе, вы соглашаетесь соблюдать все вышеупомянутые правила и условия. Необходимо соблюдать все правила, чтобы получить вознаграждение.
Обязательно используйте строку User-Agent при тестировании:xsolla-bugbounty-%your-email-before@%Узнать больше...