プログラム概要
-
- 募集対象
-
NETSEA
- 募集期間
- 2016/12/06 〜 2017/02/28
- 報奨金範囲
- 5,000円 ~ 200,000円
- ルール
- 指定したアプリケーションに対してのみ調査を実施してください。
調査対象のアプリケーション以外に対しての調査行為によるご報告については、報奨金の支払い対象として評価されません。
***************************************************************
本番環境での実施となりますので、以下の点に留意してください。
- クレジットカード決済に関わる部分は対象外とします
- 購入処理など重要な確定処理に関しては最小限の実行としてください
- ツールを用いての繰り返し処理は禁止します
- 他ユーザに影響が及ぶ行為(脆弱性を用いても含)は原則禁止とします
上記ルールを順守されないユーザについては報奨金の対象にならない場合があります。
***************************************************************
調査対象以外のドメインに対しての調査行為については禁止します。
また、「BugBounty.jp」の規約に違反する行為および当社のサービスに負荷を与えるDos(サービス運用妨害)攻撃およびそれに類する行為は禁止します。
- ターゲット
- NETSEA
http://www.netsea.jp/
- 認定対象
- 本報奨金プログラムの支払い対象となる脆弱性は以下の通りとなります。
(1) Remote Code Execution リモートからサーバ上で任意コードの実行が可能
(2) SQL Injection SQLインジェクションにより個人情報や機微情報の閲覧が可能
(3) Authentication Bypass 認証をバイパスすることにより、成りすましが可能
(4) Cross-Site Scripting (XSS) XSSによりセッションハイジャックやスクリプトの実行が可
(5) Cross-Site Request Forgery (CSRF) CSRFにより利用者が意図しない処理をさせることが可能
(6) Other その他上記に当てはまらないが、セキュリティ上影響のある事象
お支払いする報奨金の目安は以下の通りとなります。
ただし、実際の影響度に応じてお支払いする報奨金の額は前後しますのであらかじめご了承ください。
(1) 〜 ¥200,000 Remote Code Execution
(2) 〜 ¥200,000 SQL Injection
(3) 〜 ¥100,000 Authentication Bypass
(4) 〜 ¥50,000 Cross-Site Scripting (XSS)
(5) 〜 ¥10,000 Cross-Site Request Forgery (CSRF)
(6) 〜 ¥5,000 Other
- 認定対象外
- 以下の報告については対象外となります。
(1) 自動スキャナー・ツールなどで検出したものをそのまま報告した場合
(2) 実際の検証コードがない仮説、又は理論上の脆弱性
(3) サービス拒否攻撃が可能であるという脆弱性
(4) パスワードあるいはトークンに対する総当たり攻撃が可能であるという脆弱性
(5) Eメール検証不備、パスワードリセットリンクの有効期限、パスワード複雑度などのポリシー
(6) ログイン/ログアウトのCSRF
(7) CSRFトークンの不在
(8) 匿名ユーザー(例えばお問い合わせなど)に利用できるフォームのCSRF
(9) セキュリティヘッダの不在
(10) 対象ドメイン以外から発見した脆弱性
(11) 古いブラウザやプラットフォームに起因する脆弱性
(12) WEBの自動入力フォームに関する内容
(13) 重要ではないCookieのセキュアフラグ属性の不在
(14) 安全ではないSSL/TLS ciphersに関する内容
(15) ユーザー名/電子メールが列挙可能という脆弱性
(16) エラーメッセージによる情報収集(スタックトレース、アプリケーションまたはサーバーのエラー)
(17) サーバー等のバナー情報が表示されるという脆弱性
(18) ドメインのSPFレコード、DMARC、DKIMの未設定
(19) 不正なHTTPメソッドが使用可能
- 備考
- 参加資格については、本サイトの利用規約 第4条 をご参照ください。
-