収益と顧客ロイヤルティを即座に高めるシームレスなサブスクリプションプランでShopifyストアを変革しましょう。

TailorKitのパワフルなPSDデザインシステムで、Shopifyの商品をカスタマイズ可能な傑作に即座に変身させましょう。 50%オフ
  • ソリューション
    カスタムSVG
    直感的なビジュアル・エディター

    パワフルなドラッグ&ドロップで、思い通りのレイアウトを構築可能

    カスタムSVG
    使用例

    トラフィックとセールスを促進する、魅力的なページの構築

    カスタムSVG
    テンプレート

    100種類以上のコンバージョン率の高い完全レスポンシブ・テンプレート

    カスタムSVG
    統合

    強力な統合機能を活用し、ストアを次のレベルに引き上げる

    カスタムSVG
    サポートチーム

    プロフェッショナルな専門チームがお客様のビジネスの成長をサポートします。

  • お客様
    カスタムSVG
    カスタマーレビュー

    世界中の加盟店からのレビュー

    カスタムSVG
    ケーススタディ

    PageFlyがShopify加盟店のビジネス成長を支援する方法

    ユーザーの生の声

    400,000

    月間オーガニック訪問数

    1000+

    毎日新規訪問者

    150%

    入場者数上昇

    1200+

    PageFlyを使用したページ

    315%

    セッション時間の伸び

    250%

    セッションあたりのページビュー

    20%

    バウンス率

    2X

    換算率

  • リソース
    カスタムSVG
    ブログ

    eコマースとShopifyに関する最新ニュースをお届けします。

    カスタムSVG
    ヘルプセンター

    ステップ・バイ・ステップのガイドに従ってページを設定してください。

    カスタムSVG
    PageFlyチュートリアル

    PageFlyを使用して魅力的なオンラインストアを作成するあらゆる方法をご覧ください。

    カスタムSVG
    アカデミー

    Eコマースビジネスを成功させるためのガイドブック。

    カスタムSVG
    イーコムの勝利

    Eコマース戦略やチュートリアルは、真の成長のための実践的なものです。私たちと一緒にスマートな成長を目指しましょう!

  • 価格
  • 言語
    英語(EN)
    日本語 (JA)
    • Shopifyのトライアルを開始する

    クレジットカードなしでShopifyのトライアルまたはPageFlyのトライアルを開始できます。

EN

クレジットカード不要でShopifyのトライアルまたはPageFlyをお試しいただけます。

Shopifyのトライアルを開始する PageFlyを無料でお試しください。PageFlyを無料でお試しください。

PageFlyのバグ報奨金プログラム

目次

方針

一般的なプログラム用語

プログラム規定とガイドライン

テストメモ

スコープ

情報開示と守秘義務に関する方針

報酬

プログラムの除外

バグ提出の要件

リモートコード実行(RCE)投稿ガイドライン

既知の問題

応答時間

方針

報酬

低い

$50

ミディアム

$100-150

高い

$250 - $350

クリティカル

$400 - $1000

PageFlyでは、コミュニティとプラットフォームの継続的なセキュリティと安全性に取り組んでいます。私たちは、セキュリティ研究者が有意義な影響を示すセキュリティ脆弱性を発見することに力を注ぐことを奨励しています。

報酬は、ページフライセキュリティチームが脆弱性の潜在的な影響力に基づいて決定します。これらは一般的なガイドラインであり、報奨金の決定はページフライの裁量に委ねられることにご留意ください。過去の報奨金額は、将来の報奨金額の前例とはみなされません。

一般的なプログラム用語

本プログラムに参加することにより、利用者は本ポリシーに拘束され、これに従うことに同意するものとします。脆弱性またはその他のレポートを当社に提出することにより、利用者は、当社、当社の子会社およびその関連会社に対し、この資料の使用において、またはこの資料の使用に関連して、利用者がライセンス可能なすべての知的財産権に対する永続的、取り消し不能、ロイヤルティフリーのライセンスを付与するものとします。利用者は、利用者のレポートに第三者の権利が関与していないこと、および利用者がそのようなレポートを提出するすべての権利を有していることに同意するものとします。当社は、いつでも本ポリシーの条件を変更し、または本ポリシーを終了することができます。

あなたがこのポリシーに従わない場合、またはあなたのプログラムへの参加が誠意あるものでない、または当社、当社の関連会社、当社のビジネスパートナー(または当社やそれらのユーザー、従業員、請負業者)に悪影響を及ぼす可能性があると当社が判断した場合、当社は独自の裁量であなたをプログラムから排除し、プログラムのもとで報酬を受け取る資格を剥奪することができます。

プログラム規定とガイドライン

  • 再現可能な手順を含む詳細なレポートを提出してください。問題を再現するのに十分な詳細なレポートがない場合、その問題は報奨の対象となりません。
  • 影響を与えるために脆弱性を連鎖させる必要がある場合を除き、1つの報告につき1つの脆弱性を提出してください。
  • 複数の人が同じセキュリティ脆弱性を報告した場合、報奨金は通常、最初に報告書を提出した人に与えられます。ケースバイケースで例外が認められる場合もあります。
  • 1つの根本的な問題に起因する複数の脆弱性は、1つの報奨金とすることができる。
  • いかなる種類のソーシャルエンジニアリング(フィッシング、ビッシング、スミッシングを含むがこれらに限定されない)も禁止されています。
  • プライバシーの侵害、データの破壊、当社サービスの中断や劣化を行わないこと。
  • テストアカウントやテストコンテンツを作成し、実際のユーザーに影響を与えないようにする。
  • 自分が所有していない、あるいはアクセス権や管理権を持たないユーザーアカウントの脆弱性をテスト/エクスプロイトしないでください。
  • 調査中にPageFlyのユーザー情報に遭遇した場合は、そこで中断し、security@pagefly.io。
  • コミュニティガイドライン、利用規約、プライバシーポリシーを常に読み、遵守すること。
  • 特定のレポートについてご質問がある場合は、追跡のため、対応するsecurity@pagefly.ioチケットでお問い合わせください。

テストメモ

  • バグレポートにIPアドレス/テストドメインをご記入ください。私たちはこのデータを非公開にし、あなたのテスト活動に関連するログを確認するためにのみ使用します。

スコープ

脆弱性は、ページフライシステムへの影響に基づいて評価され、特定の資産がより高い影響を受ける可能性があります。

我々は現在、以下の資産に大きな関心があると考えている:

  • apps.pagefly.io
  • ページフライ
  • ブレイブビッツ

情報開示と守秘義務に関する方針

ページフライは、解決済みとしてクローズされたスコープ内報告書の貢献と所見の公表を支持します。可能な限り、参加者が公的に認知されるよう努めます。

  • ページフライチームがハッカーワンプラットフォーム内で開示要求を受け取り、ページフライチームがレポートの開示に同意した場合にのみ、脆弱性の一般公開(完全または部分的)が許可されます。
  • 参加によって得られたページフライの情報の保持、コピー、開示は許可されていません。
  • ページフライは、開示前に機密情報を修正することがあります。

情報開示の範囲を超える要求がある場合(例:ブログや会議):

  • 執筆を始める前に承認を求める。
  • 最終的なブログの編集内容とコンテンツのホスティング先をPageFlyと共有し、承認を得てください。
  • ページフライから書面による明示的な同意を得るまでは、情報を公開しないでください。

報酬

脆弱性

重大性

リモートコード実行、コマンドインジェクション、シェルアップロード

クリティカル

SQLインジェクション、XML外部エンティティインジェクション(XXE)、コマンドインジェクション、安全でないデシリアライズ、悪用可能なメモリ破壊

高 - クリティカル

漏洩したクレデンシャル、暗号の欠陥

中 - 高

クロスサイト・スクリプティング (XSS)

中 - 高

サーバーサイドリクエストフォージェリ

中 - 高

ディレクトリトラバーサル

中 - 高

認証/認可バイパス(アクセス制御の破綻)

中 - 高

ファイルの包含

ミディアム - クリティカル

安全でないオブジェクトの直接参照

ミディアム - クリティカル

設定ミス/ オープン・リダイレクト

低 - 中

CRLFインジェクション

低 - 中

クロスサイト・リクエスト・フォージェリ

低い - 高い

情報開示

低 - 中

サブドメイン乗っ取り

中 - 高

HTMLインジェクション(XSSなし)、無害なサブドメインでのXSS、ユーザーとのインタラクションを必要としない攻撃

低 - 中

質の高いレポートには、さらにボーナスが与えられる場合があります。高品質なレポートとは、(該当する場合)実用的な概念実証、根本原因の分析、修正案、およびその他の関連情報を含む、徹底的に書き込まれた脆弱性レポートです。また、研究者の皆様には、効率的に修正を実施し、タイムリーに提供するために、迅速かつ協力的な対応をお願いしています。

報酬額、ボーナス、および参加資格の決定に使用される基準は、当社の裁量によってのみ決定されます。

プログラムの除外

脆弱性を報告する際には、(1) 攻撃シナリオ/悪用可能性、(2) バグの潜在的なセキュリティ上の影響、を考慮してください。以下の問題は対象外とします:

  • 重要なアクションを伴わない、または複数のユーザーインタラクションを必要とするページでのクリックジャッキング。
  • クロスサイトリクエストフォージェリ(CSRF)認証されていないフォーム、またはセンシティブなアクションを伴わないフォーム。
  • ユーザーのデバイスへのMITMまたは物理的アクセスを必要とする攻撃。
  • Proof of Concept(概念実証)が機能していない既知の脆弱なライブラリ。
  • 脆弱性を示すことなく、カンマ区切り値(CSV)インジェクションを行う。
  • SSL/TLS設定のベストプラクティスが欠けている。
  • 当社のサービスの中断(DoS)につながる可能性のある行為、またはページフライ、その関連会社、ビジネスパートナーのユーザー、従業員、請負業者のプライバシーの侵害につながる可能性のある行為。
  • 攻撃ベクトルを示すことなく、HTML/CSSを変更することなく、コンテンツ・スプーフィングとテキスト・インジェクションの問題を解決する。
  • 非認証エンドポイントにおけるレート制限またはブルートフォースの問題。
  • コンテンツセキュリティポリシーにベストプラクティスがない。
  • リファラーポリシーの欠落。
  • Subresource Integrity ディレクティブの欠落。
  • クリックジャッキング防止機構の欠落。
  • HttpOnly、Secure、SameSite Cookie属性が見つからない。
  • Eメールのベストプラクティスの欠落(SPF/DKIM/DMARCレコードの無効、不完全、欠落など)
  • パッチの適用されていない、あるいは古いブラウザ(最新の安定版から2バージョン以上遅れている)のユーザーにのみ影響を与える脆弱性。
  • ソフトウェアバージョンの開示/バナー識別の問題/記述的なエラーメッセージやヘッダー(スタックトレース、アプリケーションやサーバーのエラーなど)。
  • 公開1ヶ月未満のゼロデイ脆弱性は、ケースバイケースである。
  • タブナビング
  • オープン・リダイレクト - 追加的なセキュリティ上の影響が実証されない限り。
  • ありそうもないユーザーとの対話を必要とする問題。
  • すでに知られている脆弱性(他の研究者や社内チームによって発見・報告されたものなど)。
  • 被害者が入力した任意のペイロードを含む自己XSS。

バグ提出の要件

必要事項 すべての提出書類には、以下の事項を明記してください:

  • 悪用可能性と影響を含む、報告された脆弱性の完全な説明。
  • 提出書類を再現するために必要なすべてのステップの証拠と説明:
  • ビデオまたはステップバイステップのスクリーンショット。
  • エクスプロイトコード。
  • トラフィックログ
  • Web/API リクエストとレスポンス。
  • テストアカウントのメールアドレスまたはユーザーID。
  • テスト中に使用されたIPアドレス。
  • RCEの提出については、以下を参照してください。 上記の項目のいずれかが含まれていない場合、報奨金の支払いが遅延または危険にさらされる可能性があります。

リモートコード実行(RCE)投稿ガイドライン

以下の条件を満たさない場合、報奨金が没収される可能性があります。

  • ソースIPアドレス。
  • タイムゾーンを含むタイムスタンプ。
  • 完全なサーバーリクエストとレスポンス。
  • アップロードされたファイルのファイル名。"bug bounty "とタイムスタンプが含まれていること。
  • コールバックIPとポート(該当する場合)。
  • 故意または不注意でアクセスされたデータ。


  • - ハードコードされた良性コマンドの結果を出力するファイルをアップロードする。
  • 禁止行為:
    - 任意のコマンドを許可するファイル(すなわちウェブシェル)をアップロードすること。
    - パーミッションを含め、あらゆるファイルやデータを変更すること。
    - あらゆるファイルやデータを削除すること。
    - 通常の運用を中断すること(例:再起動をトリガーすること)。
    - サーバーへの持続的な接続を作成し、維持すること。
    - 脆弱性を証明するために必要な範囲を超えるファイルやデータを意図的に閲覧すること。
    - 行われた操作や該当する必要な情報を開示しないこと。

既知の問題

これらの既知の問題は受け付けられませんのでご注意ください:

  • 2023年7月5日以降に報告された、すべてのPageFly製品におけるクロスサイトリクエストフォージェリ(CSRF)の発見。
  • 2024年1月26日以降に報告された、すべてのページフライセラー製品に関する安全でない直接オブジェクト参照(IDOR)/特権の昇格/不適切なアクセス制御の指摘事項。

現在、上記問題の修正に取り組んでおりますので、今しばらくお待ちください。

応答時間

ページフライは、脆弱性を報告する研究者の努力の重要性を理解しています。研究者は定期的にページフライとより広範なコミュニティに貴重な貢献をしています。ページフライは、各報告を真摯に受け止め、報告された脆弱性を解決するために調査し、適切な措置を講じます。ページフライは、提出された脆弱性に関する以下のスケジュールを遵守し、プロセス全体を通して報告者に情報を提供するために最善の努力を払います:

マリオットの反応

予想応答時間

ファースト・レスポンス

2日

トリアージに要する時間

5日

バウンティーの時間

20日

解決までの時間

重症度と複雑さによる

コンバージョンを生むストアフロントの構築

独自のストアを構築するために必要なすべてのツールにアクセスできます!

今すぐPageFlyをインストール

永久無料プラン。リスクなし。

PageFly 無料プランの全機能をお試しください。

時間制限はない!PageFlyの追加

14日間の無料トライアルでShopifyストアをオープン

お客様のプライバシーを尊重します

当社では、お客様のブラウジング体験の向上、パーソナライズされたサービスの提供、トラフィックの分析のためにクッキーを使用しています。 プライバシーポリシー
クッキーの管理受け入れる

クッキーの管理


当社は、お客様のブラウジング体験を向上させ、パーソナライズされたサービスを提供し、当社のトラフィックを分析するためにクッキーを使用しています。
プライバシーポリシーについて
厳密に必要なクッキー
ウェブサイトを機能させるために必要なクッキーは、無効にすることはできません。
パフォーマンスと機能性
ライブチャットサポートに必要なクッキーは無効にできません。
分析およびカスタマイズ
クッキーは、当社のウェブサイトの利用状況を把握するために使用されます。
セーブ