FlowHunt は、全員のためにサービスを安全に保つことを目指しており、データの安全性を最重要視しています。もしあなたがセキュリティ研究者で、本サービスの脆弱性を発見した場合は、技術的な詳細が公開される前に私たちに私的に開示して修正の機会を与えていただけると感謝します。
FlowHuntは、ここに記載された方法で脆弱性が報告された際にセキュリティ研究者と協力します。私たちは脆弱性を検証し、対応し、修正します。責任を持って脆弱性を発見し報告する者に対して、法的措置を取ったり、サービスへのアクセスを停止・終了したりすることはありません。FlowHuntは不遵守があった場合には全ての法的権利を留保します。
報告
疑わしい脆弱性の詳細をsupport@flowhunt.io宛にFlowHunt開発チームへ共有してください。本プロセスの外でこれらの詳細を公開しないでください。脆弱性を報告する際は、できるだけ多くの情報を含めてください。複数の報告を一度に提出したい場合は、可能な限り最も重要な1件だけを提出し、返答を待ってください。
報酬
お客様を保護するのに役立つ脆弱性情報に対して、参加するセキュリティ研究者に感謝の意を表してバウンティを提供しています。通常のバウンティ報酬は、開発チームによって提出および検証された各案件につき100ドルです。
脆弱性については最初の報告者にのみ報酬を支払います。重複報告には報酬は支払われません。
対象範囲
テストできるのは、あなたがアカウント所有者である、またはアカウント所有者によってそのようなテストを行うことを許可されたエージェントであるFlowHuntアカウントのみです。例:yourdomain.flowhunt.io
以下の種類の脆弱性について報酬を支払います:
- リモートコマンド実行 (RCE)
- SQLインジェクション
- 認証の破れ
- セッション管理の破れ
- アクセス制御のバイパス
- クロスサイトスクリプティング (XSS)
- URLリダイレクトのオープン
- ディレクトリトラバーサル
攻撃者が自分のアカウントのみを脅かせる場合の報告は報酬の対象になりません。管理者によるXSSはバウンティの対象外です。
よくある質問
- FlowHuntのバグバウンティプログラムとは?
バグバウンティプログラムは、セキュリティ研究者がFlowHuntのソフトウェアの脆弱性を発見・報告し、適格かつ検証された報告に対して報酬を受け取るためのものです。
- 通常のバウンティ報酬はいくらですか?
通常のバウンティ報酬は、開発チームによって検証された各ユニークな脆弱性につき100ドルです。
- 脆弱性はどのように報告しますか?
疑わしい脆弱性の詳細をsupport@flowhunt.io宛にFlowHunt開発チームへ共有してください。可能な限り多くの情報を含めてください。
- 重複する報告に対して報酬は支払われますか?
いいえ、脆弱性については最初の報告者のみが報酬を受け取ります。重複報告はバウンティの対象になりません。
- 責任ある開示は必要ですか?
はい。脆弱性はプライベートに報告され、修正される前に公開しないでください。責任ある開示ポリシーに従ってください。