УСЛОВИЯ ПРОГРАММЫ
Заполните форму ниже с подробным отчетом. Он должен содержать детальную информацию о проблемах безопасности и их влиянии. Отчеты об уязвимостях, которые нельзя воспроизвести, будут закрыты как принятые к сведению.
Ваш отчет должен включать как можно больше информации из следующего списка:
- Ссылка на страницу, которая содержит ошибку или продукты/сайты Иксоллы, подверженные уязвимости (если доступно).
- Тип ошибки.
- Пошаговые инструкции по воспроизведению и проверки ошибки.
- Влияние (почему вы считаете, что это ошибка, и какие проблемы или повреждения она вызывает).
- Рекомендации по исправлению/улучшению.
При составлении отчета соблюдайте следующие правила:
- Не пытайтесь проводить пост-эксплуатацию, включая модификацию или уничтожение данных, а также прерывание или деградацию сервисов Иксоллы.
- Не пытайтесь проводить брутфорс-атаки, атаки типа «отказ в обслуживании», компрометацию или тестирование учетных записей других пользователей Иксоллы.
- Не пытайтесь атаковать сотрудников Иксоллы или ее пользователей, включая атаки с использованием социальной инженерии, фишинговые атаки или физические атаки.
- Не совершайте физических атак на какие-либо объекты Иксоллы.
Обязательно используйте строку User-Agent xsolla-bugbounty-%your-email-before@% при тестировании.
Ограниченное использование автоматизированных сканеров/инструментов разрешено только с применением вышеуказанной строки User-Agent, при этом сканеры/инструменты должны быть настроены так, чтобы не отправлять более 15 запросов в секунду к какому-либо конкретному сервису.
Обратите внимание, что использование инструментов сканирования без указанной выше строки User-Agent может привести к блокировке вашей учетной записи/IP-адреса автоматическими средствами защиты. Отмена блокировки может занять некоторое время, поэтому не забудьте проверить, что вы ввели эту строку.
После отправки мы подтвердим получение отчета автоматическим ответом с запросом дополнительной информации, и продолжим наш диалог по электронной почте, когда/если это потребуется. После этого мы рассмотрим информацию и проверим ошибку, о которой вы сообщили. В случае подтверждения наличия ошибки мы уведомим вас.
Отправляя отчет об ошибке, вы соглашаетесь соблюдать Политику Программы Bug Bounty, которая запрещает публичное или частное разглашение сведений о какой-либо уязвимости или ошибке Xsolla вплоть до истечения 30 дней после исправления ошибки.
Участвуя в данной программе, вы соглашаетесь соблюдать все вышеупомянутые правила и условия. Необходимо соблюдать все правила, чтобы получить вознаграждение.