提交错误报告即表示你同意遵守[Xsolla 赏金计划政策](/zh/xsolla-bounty-program-terms-and-conditions)，该政策禁止在错误修复后的 30 天之前公开或私下披露 Xsolla 上任何漏洞或错误的详细信息。

参加此计划即表示你同意遵守上述规则和条件。必须遵守所有规则才有资格获得奖励。

提交报告

规则

#### 范围之内
本计划范围仅限于艾克索拉网站的网页版和移动版。我们在Facebook、Twitter、Linkedin、Reddit等之上的帐户以及我们合作伙伴的网站不在范围内。

符合赏金资格：

*.xsolla.com

80.lv

story3.com



##### 符合资格的漏洞

| 漏洞 |  严重性范围 |
|----------|------------------|
| 远程代码执行 | 严重  |
| SQL注入  | 高 - 严重 |
|  XXE   | 高 - 严重   |
|  存储型XSS    | 中 - 高    |
| 服务器端请求伪造 | 高 - 严重 |
| 目录遍历 - 本地文件包含    | 高             |
| 认证/授权绕过（失效的访问控制） | 中 - 高  |
| 权限提升     | 中 - 高            |
| 不安全的直接对象引用 | 中 - 高  |
| 反射型跨站脚本   | 中             |
|  误配置   | 低 - 高            |
| Web缓存欺骗  | 低 - 中      |
| CORS误配置 | 低 - 中 |
| CRLF注入    | 低 - 中      |
| 跨站请求伪造 | 低 - 中  |
| 开放式重定向   | 低 - 中        |
| 信息泄漏   | 低 - 中     |

范围之内

#### 参与规则
在下方提交表单[链接](#form)并附带详细报告。报告应包含对安全性问题及其影响的清晰说明。对于缺乏可重现PoC（概念证实）的报告，我们将以“参考”等级关闭该报告。

报告应尽可能多地包含以下几项：
- 出错的页面或受影响的产品/网站（如适用）的链接
- 错误类型
- 重现及验证该错误的分步操作说明
- 影响（为什么它是个错误或它造成了什么破坏）
- 修复/改进建议

提交报告时请遵循如下事项：
- 请勿尝试进行深度利用(post-exploitation)，包括修改或毁坏数据、中断或影响艾克索拉的服务
- 请勿尝试进行蛮力攻击、拒绝服务攻击、入侵或测试不属于你的艾克索拉帐户
- 请勿尝试将目标指向艾克索拉的员工或客户，包括进行社会工程学攻击、钓鱼攻击或物理攻击
- 请勿对任何艾克索拉设施进行物理攻击

测试时请务必使用用户-代理字符串xsolla-bugbounty-%your-email-before@%

应用了上述用户-代理的情况下允许有限使用自动扫描程序/工具，扫描程序/工具对任何具体服务发送请求的个数不得超过每秒15个

请注意，在未使用上述用户-代理字符串的情况下使用扫描程序可能导致你的帐户/IP被自动保护程序拦截。进行恢复需要花费较长时间，因此请务必包含该字符串。

提交报告后，你会收到一封自动回复确认我们已经收到你的报告并询问你是否需要追加信息。适用时我们将通过邮件继续与你对话。
我们会查看提交的信息并着手验证所报告的错误。如果所发现的错误确实是一个问题，我们将通知你。


参与规则

#### 负责任的披露政策
我们认为，本着切实修复错误之外的目的而披露错误的行为有违本计划的宗旨。计划参与者同意在错误修复后30天之内不得披露错误，并同意通过邮件与我们的团队联系来协调披露事宜以免引起困惑。

我们将尽可能快地回复你提交的错误，及时通知你修复的进展，并在适用情况下授予你赏金。

请勿入侵用户帐户、破坏数据库或泄露可能敏感的信息。同时我们也不鼓励进行可能损害我们的用户服务质量的测试。



负责任的披露政策

#### 支付
你可以选择在PayPal帐户中接收资金，该情况下需确认所提供的PayPal帐户是你的个人帐户。

你也可以选择将该资金作为艾克索拉分发的游戏的抵扣金。该情况下会要求你提供帐户关联的昵称/邮箱。



支付

#### 范围之外
- 安全性最佳实践，例如安全头等
- 社会工程学攻击、钓鱼
- 物理攻击
- 缺少Cookie标志
- 影响极小的CSRF，例如登录CSRF、登出CSRF等
- 内容欺骗
- 堆栈跟踪、路径泄露、目录列示
- SSL/TLS最佳实践
- 横幅抓取
- CSV注入
- 反射型文件下载
- 报告过时的浏览器
- DOS/DDOS（包括没有限流和文件大小限制）
- 没有实际影响的主机头注入
- 扫描程序输出
- 第三方产品的漏洞
- 用户枚举
- 密码复杂度
- HTTP Trace方法
- 艾克索拉使用的第三方软件中的问题
- 点击劫持 
- 自我型XSS 
- 伪装邮件 - SPF记录误配置

以下情况的报告：
- 支付被拒绝或无法完成。
- 退款尚未被批准或钱款尚未到账。
- 你要用的支付系统暂时不可用或不支持你所在的区域/移动供应商。
- 你没有收到所购商品或其关联的奖励。
- 与计划内或计划外的宕机有关的问题、连接问题等。
- 我们在Facebook、Twitter、Linkedin、Reddit等平台上的帐户以及我们合作伙伴网站上的错误。

对于上述问题及其他支付相关问题，请访问help.xsolla.com联系我们的24/7全天候客服团队。

范围之外

#### 奖励
我们的奖励基于漏洞的严重程度。我们使用CVSS 3.1（通用漏洞评分标准）来评估严重性。

对于比较独特、难以发现的错误或高质量的报告，赏金可能较多；对于前提复杂因而被利用风险较低的错误，赏金可能较少。

但是请注意，奖励决定全权由艾克索拉酌情作出。问题可能由于存在相应的补救控制和具体情形而得到较低的严重性评分。

表格中所示的金额应认为是各严重性等级对应可获得的最大金额，虽然具体奖励可以由艾克索拉酌情作出。

| 严重性 | 金额（美元） |
|----------|------------------|
| 严重 | $1,000 - $2,000  |
| 高     | $800             |
| 中   | $500             |
| 低      | $100             |
如存在重复报告，奖励授予第一个可完整复现问题的报告。

如果多个漏洞由同一个背后问题引发，则只奖励一份赏金。奖励在问题证实后发放，并且我们在解决问题的过程中会通知你相关进度。不过，调查漏洞严重性有时可能需要花费较长时间，赏金也会相应地延迟发放。

调查错误时请使用你自己的帐户进行测试，不要在未经帐户所有者同意的情况下与他人的帐户进行交互。


奖励

通过艾[克索拉钱包帐](https://account.xsolla.com/)户中的聊天获得更快的支持服务。

漏洞	严重性范围
远程代码执行	严重
SQL注入	高 - 严重
XXE	高 - 严重
存储型XSS	中 - 高
服务器端请求伪造	高 - 严重
目录遍历 - 本地文件包含	高
认证/授权绕过（失效的访问控制）	中 - 高
权限提升	中 - 高
不安全的直接对象引用	中 - 高
反射型跨站脚本	中
误配置	低 - 高
Web缓存欺骗	低 - 中
CORS误配置	低 - 中
CRLF注入	低 - 中
跨站请求伪造	低 - 中
开放式重定向	低 - 中
信息泄漏	低 - 中