バウンティプログラム

ZAFULにセキュリティの脆弱性を発見した場合は、すぐにメッセージを送信することをお勧めします。すべての正当な脆弱性レポートを確認し、問題を迅速に解決するために全力を尽くします。報告する前に、基本原則、報奨金プログラム、報酬ガイドライン、報告すべきでないものを含めて、この文書を確認してください。

基本的な原則

ZAFULにセキュリティ問題を報告する際に以下の原則を順守する場合、私たちはあなたの報告に応じてあなたに対する訴訟または法執行調査を開始しません。私たちはそれを求めます:

1.あなたは、報告に関する情報を公開したり、そのような情報を他の人と共有する前に、報告した問題を確認および修復するための合理的な時間を与えます。

2.アカウントの所有者がそのような行為に同意していない場合は、個々のアカウント(アカウントのデータの変更やアクセスを含む)を操作しません。

3.お客様は、プライバシーの侵害、およびデータの破壊や当社のサービスの中断または低下を含む(これらに限定されない)他者への混乱を回避するために誠実な努力をします。

4.何らかの理由で発見したセキュリティ問題を悪用することはありません。 (これには、機密の企業データの侵害の試みや追加の問題の調査など、追加のリスクの実証が含まれます。)

5.お客様は、適用されるその他の法律または規制に違反していません。

バウンティプログラム

1.基本原則を遵守します(上記を参照)。

2.セキュリティのバグを報告します。つまり、セキュリティまたはプライバシーのリスクを引き起こす、サービスまたはインフラストラクチャの脆弱性を特定します。 (ZAFULは最終的に問題のリスクを決定し、多くのバグはセキュリティ問題ではないことに注意してください。)

3.“security@zaful.com”を介してレポートを送信する。 レポートについては、直接または他のチャネルを通じて従業員に連絡しないでください。ご注文に関して質問や問題がある場合は、support @ zaful.comでサポートセンターにお問い合わせください。

4.問題の調査中に誤ってプライバシー違反または混乱(アカウントデータ、サービス設定、またはその他の機密情報へのアクセスなど)を引き起こした場合は、必ずレポートでこれを開示してください。

5.すべての有効なレポートを調査し、できるだけ早く対応します。受け取るレポートの量が多いため、リスクやその他の要因に基づいて評価を優先するため、返信を受け取るまでに5営業日かかります。

6.私たちはレポートを公開する権利を留保します。

報酬

私たちの報酬は、脆弱性の影響に基づいています。プログラムはフィードバックに基づいて随時更新されます。改善できると思われるプログラムの部分についてフィードバックをお寄せください。

1.詳細なレポートを再現可能な手順で提供してください。問題を再現できるほど詳細なレポートがない場合、問題は報奨金の対象にはなりません。

2.重複が発生した場合は、完全に再現できる最初のレポートを授与します。

3.1つの根本的な問題によって引き起こされた複数の脆弱性には、1つの賞金が与えられます。

4.報奨金は、影響、利用のしやすさ、レポートの品質など(これらに限定されない)のさまざまな要因に基づいて報奨金を決定します。報奨金の報酬に特に注意してください。これらは以下にリストされています。

5.以下の金額は 最大 レベルごとに支払います。私たちは公平であることを目指し、すべての報酬額は私たちの裁量にあります。

重大な深刻度の脆弱性 ($200): 非特権から管理者にプラットフォームで特権昇格を引き起こす脆弱性により、リモートでのコードの実行、金銭の盗難などが可能になります。例:

·リモートでのコード実行

·リモートシェル/コマンドの実行

·垂直認証バイパス

·ターゲットデータをリークするSQLインジェクション

·アカウントへのフルアクセスを取得する

重大度の高い脆弱性 ($100): サポートするプロセスを含むプラットフォームのセキュリティに影響を与える脆弱性。例:

·横認証バイパス

·社内の重要情報の開示

·垂直認証バイパス

·別のユーザー用に保存されたXSS

·認証Cookieの安全でない処理

中程度の重大度の脆弱性 ($50): 複数のユーザーに影響を及ぼし、ユーザーの操作をほとんどまたはまったく必要としない脆弱性。例:

·一般的なロジック設計の欠陥とビジネスプロセスの欠陥

·社内の重要情報の開示

·安全でない直接オブジェクト参照

重大度の低い脆弱性 (NONE):単一のユーザーに影響を及ぼし、トリガーするために対話または重要な前提条件(MITM)を必要とする問題。例:

·オープンリダイレクト

·反射XSS

·感度が低い情報漏洩