通过提交漏洞报告，您同意遵守[艾克索拉赏金计划政策](https://help.xsolla.com/ru/xsolla-bounty-program-terms-and-conditions)，该政策禁止公开和私下披露与艾克索拉相关的任何漏洞或错误详细信息。

通过参与此计划，您同意遵守上述规则和条件。必须遵守所有规则才有资格获得奖励。

提交报告

规则

#### 范围之内
本计划范围仅限于艾克索拉网站的网页版和移动版。我们在Facebook、Twitter、Linkedin、Reddit等之上的帐户以及我们合作伙伴的网站不在范围内。

符合赏金资格：

*.xsolla.com (accelerator.xsolla.com 排除)

80.lv

story3.com

golightstream.com (rainmaker.gg 排除) 

api.stream

##### 符合资格的漏洞

| 漏洞 |  严重性范围 |
|----------|------------------|
| 远程代码执行 | 严重  |
| SQL注入  | 高 - 严重 |
|  XXE   | 高 - 严重   |
|  存储型XSS    | 中 - 高    |
| 服务器端请求伪造 | 高 - 严重 |
| 目录遍历 - 本地文件包含    | 高             |
| 认证/授权绕过（失效的访问控制） | 中 - 高  |
| 不安全的直接对象引用 | 中 - 高  |
| 反射型跨站脚本   | 中             |
|  误配置   | 低 - 高            |
| Web缓存欺骗  | 低 - 中      |
| CORS误配置 | 低 - 中 |
| CRLF注入    | 低 - 中      |
| 跨站请求伪造 | 低 - 中  |
| 开放式重定向   | 低 - 中        |
| 信息泄漏   | 低 - 中     |
| 权限提升   | 中 - 高     |

范围之内

#### 参与规则
在下方提交表单[链接](#form)并附带详细报告。报告应包含对安全性问题及其影响的清晰说明。对于缺乏可重现PoC（概念证实）的报告，我们将以“参考”等级关闭该报告。

报告应尽可能多地包含以下几项：
- 出错的页面或受影响的产品/网站（如适用）的链接
- 错误类型
- 重现及验证该错误的分步操作说明
- 影响（为什么它是个错误或它造成了什么破坏）
- 修复/改进建议

提交报告时请遵循如下事项：
- 请勿尝试进行深度利用(post-exploitation)，包括修改或毁坏数据、中断或影响艾克索拉的服务
- 请勿尝试进行蛮力攻击、拒绝服务攻击、入侵或测试不属于你的艾克索拉帐户
- 请勿尝试将目标指向艾克索拉的员工或客户，包括进行社会工程学攻击、钓鱼攻击或物理攻击
- 请勿对任何艾克索拉设施进行物理攻击

测试时请务必使用用户-代理字符串xsolla-bugbounty-%your-email-before@%

应用了上述用户-代理的情况下允许有限使用自动扫描程序/工具，扫描程序/工具对任何具体服务发送请求的个数不得超过每秒15个

请注意，在未使用上述用户-代理字符串的情况下使用扫描程序可能导致你的帐户/IP被自动保护程序拦截。进行恢复需要花费较长时间，因此请务必包含该字符串。

提交报告后，你会收到一封自动回复确认我们已经收到你的报告并询问你是否需要追加信息。适用时我们将通过邮件继续与你对话。
我们会查看提交的信息并着手验证所报告的错误。如果所发现的错误确实是一个问题，我们将通知你。


参与规则

#### 负责任的披露政策
我们认为出于修复漏洞以外的目的披露缺陷违背了本计划的精神。无论漏洞是否被列为[范围内](https://help.xsolla.com/en/rules/in-scope)，也无论是在[符合条件的网站](https://help.xsolla.com/en/rules/in-scope)还是其他艾克索拉网站上发现的，参与者都同意仅通过提交[参与规则](https://help.xsolla.com/en/rules/rules-of-engagement)中提供的表单来披露或报告任何发现的漏洞，并进一步同意不向任何第三方披露此类漏洞。

我们会尽快回复您的提交，并在符合条件时发放相应奖励。

请不要入侵用户帐户、损坏数据库或泄露可能敏感的数据。不建议进行会降低其他用户服务质量的测试



负责任的披露政策

#### 支付
你可以选择在PayPal帐户中接收资金，该情况下需确认所提供的PayPal帐户是你的个人帐户。

你也可以选择将该资金作为艾克索拉分发的游戏的抵扣金。该情况下会要求你提供帐户关联的昵称/邮箱。



支付

#### 范围之外
- 安全性最佳实践，例如安全头等
- 社会工程学攻击、钓鱼
- 物理攻击
- 缺少Cookie标志
- 影响极小的CSRF，例如登录CSRF、登出CSRF等
- 内容欺骗
- 堆栈跟踪、路径泄露、目录列示
- SSL/TLS最佳实践
- 横幅抓取
- CSV注入
- 反射型文件下载
- 报告过时的浏览器
- DOS/DDOS（包括没有限流和文件大小限制）
- 没有实际影响的主机头注入
- 扫描程序输出
- 第三方产品的漏洞
- 用户枚举
- 密码复杂度
- HTTP Trace方法
- 艾克索拉使用的第三方软件中的问题
- 点击劫持 
- 自我型XSS 
- 伪装邮件 - SPF记录误配置
- 通过host头注入打开跳转
- 私有IP地址披露

以下情况的报告：
- 支付被拒绝或无法完成。
- 退款尚未被批准或钱款尚未到账。
- 你要用的支付系统暂时不可用或不支持你所在的区域/移动供应商。
- 你没有收到所购商品或其关联的奖励。
- 与计划内或计划外的宕机有关的问题、连接问题等。
- 我们在Facebook、Twitter、Linkedin、Reddit等平台上的帐户以及我们合作伙伴网站上的错误。

对于上述问题及其他支付相关问题，请访问help.xsolla.com联系我们的24/7全天候客服团队。

范围之外

#### 奖励
我们的奖励基于漏洞的严重程度。我们使用CVSS 3.1（通用漏洞评分标准）来计算严重程度。

对于独特、难以发现的漏洞或高质量报告，我们可能会支付更多奖励；对于具有复杂前提条件、利用难度较高的漏洞，我们也可能支付较少奖励。

但请注意，奖励决定由艾克索拉自行决定。由于有其他安全措施和实际环境因素的影响，问题可能会收到较低的严重程度评级。

表格中显示的金额为各严重程度级别的上限标准，艾克索拉有权根据实际情况调整奖励金额。


| 严重性 | 金额（美元） |
|----------|------------------|
| 严重 | $1,000 - $2,000  |
| 高     | $800             |
| 中   | $500             |
| 低      | $100             |

当出现重复报告时，我们将奖励第一个能被我们完全重现的报告。

源于单一根本问题的多个漏洞只能获得一个奖励，该奖励将授予第一个揭示该问题的报告。奖励将在验证后发放。有时可能需要额外时间来调查漏洞严重程度，奖励支付可能会延迟。

漏洞测试仅限使用您的个人帐户，严禁与其他用户帐户交互或进行任何可能伤害其他用户或侵犯他人隐私的行为。必须遵守所有规则才有资格获得奖励。

奖励

通过艾[克索拉钱包帐](https://wallet.xsolla.com/)户中的聊天获得更快的支持服务。

漏洞	严重性范围
远程代码执行	严重
SQL注入	高 - 严重
XXE	高 - 严重
存储型XSS	中 - 高
服务器端请求伪造	高 - 严重
目录遍历 - 本地文件包含	高
认证/授权绕过（失效的访问控制）	中 - 高
不安全的直接对象引用	中 - 高
反射型跨站脚本	中
误配置	低 - 高
Web缓存欺骗	低 - 中
CORS误配置	低 - 中
CRLF注入	低 - 中
跨站请求伪造	低 - 中
开放式重定向	低 - 中
信息泄漏	低 - 中
权限提升	中 - 高