PageFlyのバグ報奨金プログラム

方針

報酬

PageFlyでは、コミュニティとプラットフォームの継続的なセキュリティと安全性に取り組んでいます。私たちは、セキュリティ研究者が有意義な影響を示すセキュリティ脆弱性を発見することに力を注ぐことを奨励しています。

報酬は、ページフライセキュリティチームが脆弱性の潜在的な影響力に基づいて決定します。これらは一般的なガイドラインであり、報奨金の決定はページフライの裁量に委ねられることにご留意ください。過去の報奨金額は、将来の報奨金額の前例とはみなされません。

一般的なプログラム用語

本プログラムに参加することにより、利用者は本ポリシーに拘束され、これに従うことに同意するものとします。脆弱性またはその他のレポートを当社に提出することにより、利用者は、当社、当社の子会社およびその関連会社に対し、この資料の使用において、またはこの資料の使用に関連して、利用者がライセンス可能なすべての知的財産権に対する永続的、取り消し不能、ロイヤルティフリーのライセンスを付与するものとします。利用者は、利用者のレポートに第三者の権利が関与していないこと、および利用者がそのようなレポートを提出するすべての権利を有していることに同意するものとします。当社は、いつでも本ポリシーの条件を変更し、または本ポリシーを終了することができます。

あなたがこのポリシーに従わない場合、またはあなたのプログラムへの参加が誠意あるものでない、または当社、当社の関連会社、当社のビジネスパートナー（または当社やそれらのユーザー、従業員、請負業者）に悪影響を及ぼす可能性があると当社が判断した場合、当社は独自の裁量であなたをプログラムから排除し、プログラムのもとで報酬を受け取る資格を剥奪することができます。

プログラム規定とガイドライン

• 再現可能な手順を含む詳細なレポートを提出してください。問題を再現するのに十分な詳細なレポートがない場合、その問題は報奨の対象となりません。
• 影響を与えるために脆弱性を連鎖させる必要がある場合を除き、1つの報告につき1つの脆弱性を提出してください。
• 複数の人が同じセキュリティ脆弱性を報告した場合、報奨金は通常、最初に報告書を提出した人に与えられます。ケースバイケースで例外が認められる場合もあります。
• 1つの根本的な問題に起因する複数の脆弱性は、1つの報奨金とすることができる。
• いかなる種類のソーシャルエンジニアリング（フィッシング、ビッシング、スミッシングを含むがこれらに限定されない）も禁止されています。
• プライバシーの侵害、データの破壊、当社サービスの中断や劣化を行わないこと。
• テストアカウントやテストコンテンツを作成し、実際のユーザーに影響を与えないようにする。
• 自分が所有していない、あるいはアクセス権や管理権を持たないユーザーアカウントの脆弱性をテスト/エクスプロイトしないでください。
• 調査中にPageFlyのユーザー情報に遭遇した場合は、そこで中断し、security@pagefly.io。
• コミュニティガイドライン、利用規約、プライバシーポリシーを常に読み、遵守すること。
• 特定のレポートについてご質問がある場合は、追跡のため、対応するsecurity@pagefly.ioチケットでお問い合わせください。

テストメモ

• バグレポートにIPアドレス/テストドメインをご記入ください。私たちはこのデータを非公開にし、あなたのテスト活動に関連するログを確認するためにのみ使用します。

スコープ

脆弱性は、ページフライシステムへの影響に基づいて評価され、特定の資産がより高い影響を受ける可能性があります。

我々は現在、以下の資産に大きな関心があると考えている：

• apps.pagefly.io
• ページフライ
• ブレイブビッツ

情報開示と守秘義務に関する方針

ページフライは、解決済みとしてクローズされたスコープ内報告書の貢献と所見の公表を支持します。可能な限り、参加者が公的に認知されるよう努めます。

• ページフライチームがハッカーワンプラットフォーム内で開示要求を受け取り、ページフライチームがレポートの開示に同意した場合にのみ、脆弱性の一般公開（完全または部分的）が許可されます。
• 参加によって得られたページフライの情報の保持、コピー、開示は許可されていません。
• ページフライは、開示前に機密情報を修正することがあります。

情報開示の範囲を超える要求がある場合（例：ブログや会議）：

• 執筆を始める前に承認を求める。
• 最終的なブログの編集内容とコンテンツのホスティング先をPageFlyと共有し、承認を得てください。
• ページフライから書面による明示的な同意を得るまでは、情報を公開しないでください。

報酬

質の高いレポートには、さらにボーナスが与えられる場合があります。高品質なレポートとは、（該当する場合）実用的な概念実証、根本原因の分析、修正案、およびその他の関連情報を含む、徹底的に書き込まれた脆弱性レポートです。また、研究者の皆様には、効率的に修正を実施し、タイムリーに提供するために、迅速かつ協力的な対応をお願いしています。

報酬額、ボーナス、および参加資格の決定に使用される基準は、当社の裁量によってのみ決定されます。

プログラムの除外

脆弱性を報告する際には、(1) 攻撃シナリオ／悪用可能性、(2) バグの潜在的なセキュリティ上の影響、を考慮してください。以下の問題は対象外とします：

• 重要なアクションを伴わない、または複数のユーザーインタラクションを必要とするページでのクリックジャッキング。
• クロスサイトリクエストフォージェリ（CSRF）認証されていないフォーム、またはセンシティブなアクションを伴わないフォーム。
• ユーザーのデバイスへのMITMまたは物理的アクセスを必要とする攻撃。
• Proof of Concept（概念実証）が機能していない既知の脆弱なライブラリ。
• 脆弱性を示すことなく、カンマ区切り値（CSV）インジェクションを行う。
• SSL/TLS設定のベストプラクティスが欠けている。
• 当社のサービスの中断（DoS）につながる可能性のある行為、またはページフライ、その関連会社、ビジネスパートナーのユーザー、従業員、請負業者のプライバシーの侵害につながる可能性のある行為。
• 攻撃ベクトルを示すことなく、HTML/CSSを変更することなく、コンテンツ・スプーフィングとテキスト・インジェクションの問題を解決する。
• 非認証エンドポイントにおけるレート制限またはブルートフォースの問題。
• コンテンツセキュリティポリシーにベストプラクティスがない。
• リファラーポリシーの欠落。
• Subresource Integrity ディレクティブの欠落。
• クリックジャッキング防止機構の欠落。
• HttpOnly、Secure、SameSite Cookie属性が見つからない。
• Eメールのベストプラクティスの欠落（SPF/DKIM/DMARCレコードの無効、不完全、欠落など）
• パッチの適用されていない、あるいは古いブラウザ（最新の安定版から2バージョン以上遅れている）のユーザーにのみ影響を与える脆弱性。
• ソフトウェアバージョンの開示／バナー識別の問題／記述的なエラーメッセージやヘッダー（スタックトレース、アプリケーションやサーバーのエラーなど）。
• 公開1ヶ月未満のゼロデイ脆弱性は、ケースバイケースである。
• タブナビング
• オープン・リダイレクト - 追加的なセキュリティ上の影響が実証されない限り。
• ありそうもないユーザーとの対話を必要とする問題。
• すでに知られている脆弱性（他の研究者や社内チームによって発見・報告されたものなど）。
• 被害者が入力した任意のペイロードを含む自己XSS。

バグ提出の要件

必要事項 すべての提出書類には、以下の事項を明記してください：

• 悪用可能性と影響を含む、報告された脆弱性の完全な説明。
• 提出書類を再現するために必要なすべてのステップの証拠と説明：

• ビデオまたはステップバイステップのスクリーンショット。
• エクスプロイトコード。
• トラフィックログ
• Web/API リクエストとレスポンス。
• テストアカウントのメールアドレスまたはユーザーID。
• テスト中に使用されたIPアドレス。
• RCEの提出については、以下を参照してください。 上記の項目のいずれかが含まれていない場合、報奨金の支払いが遅延または危険にさらされる可能性があります。

リモートコード実行（RCE）投稿ガイドライン

以下の条件を満たさない場合、報奨金が没収される可能性があります。

• ソースIPアドレス。
• タイムゾーンを含むタイムスタンプ。
• 完全なサーバーリクエストとレスポンス。
• アップロードされたファイルのファイル名。"bug bounty "とタイムスタンプが含まれていること。
• コールバックIPとポート（該当する場合）。
• 故意または不注意でアクセスされたデータ。
• 
  
  - ハードコードされた良性コマンドの結果を出力するファイルをアップロードする。
• 禁止行為：
  - 任意のコマンドを許可するファイル（すなわちウェブシェル）をアップロードすること。
  - パーミッションを含め、あらゆるファイルやデータを変更すること。
  - あらゆるファイルやデータを削除すること。
  - 通常の運用を中断すること（例：再起動をトリガーすること）。
  - サーバーへの持続的な接続を作成し、維持すること。
  - 脆弱性を証明するために必要な範囲を超えるファイルやデータを意図的に閲覧すること。
  - 行われた操作や該当する必要な情報を開示しないこと。

既知の問題

これらの既知の問題は受け付けられませんのでご注意ください：

• 2023年7月5日以降に報告された、すべてのPageFly製品におけるクロスサイトリクエストフォージェリ（CSRF）の発見。
• 2024年1月26日以降に報告された、すべてのページフライセラー製品に関する安全でない直接オブジェクト参照（IDOR）/特権の昇格/不適切なアクセス制御の指摘事項。

現在、上記問題の修正に取り組んでおりますので、今しばらくお待ちください。

応答時間

ページフライは、脆弱性を報告する研究者の努力の重要性を理解しています。研究者は定期的にページフライとより広範なコミュニティに貴重な貢献をしています。ページフライは、各報告を真摯に受け止め、報告された脆弱性を解決するために調査し、適切な措置を講じます。ページフライは、提出された脆弱性に関する以下のスケジュールを遵守し、プロセス全体を通して報告者に情報を提供するために最善の努力を払います：