セキュリティ

#Shockbyteのバグバウンティプログラムへようこそ。

バグバウンティプログラムとは、当社のソフトウェア・ウェブサイト・デジタルインフラにおけるセキュリティ上の脆弱性を発見・報告してくれた個人またはグループに報酬を提供するインセンティブ制度です。 このプログラムの目的は、「ホワイトハット」または倫理的ハッカーとも呼ばれるセキュリティ研究者が、悪意ある攻撃者に悪用される可能性のある脆弱性を発見・開示することを奨励するためのものです。

現在、バグバウンティプログラムの対象範囲は以下のとおりです：

• https://shockbyte.com
• https://panel.shockbyte.com
• https://discord.shockbyte.com

#セキュリティ上の問題を報告するには？

問題を報告するには、security@shockbyte.com までメールをお送りください。迅速に対応いたします。 できる限り詳細な情報をご提供ください。

#対象外

• 上記以外のすべてのドメインおよびサブドメインは、本バグバウンティプログラムの対象外となります。
• 当社がすでに把握している、または現在対応中の問題。

#受け付けない報告の種類

以下の種類の報告は受け付けておりません。 このリストは既存のバグバウンティプログラムを参考に作成されています。

• 機密操作のないページにおけるクリックジャッキング
• 未認証フォームまたは機密操作のないフォームにおけるクロスサイトリクエストフォージェリ（CSRF）
• MITMまたはユーザーデバイスへの物理的アクセスを必要とする攻撃。
• 実証可能なPoCが存在しない既知の脆弱なライブラリ。
• 脆弱性の実証を伴わないCSV（コンマ区切り値）インジェクション。
• SSL/TLS設定におけるベストプラクティスの欠如。
• 攻撃ベクトルの提示がない、またはHTML/CSSの改ざんができないコンテンツスプーフィングおよびテキストインジェクションの問題
• 認証エンドポイント以外におけるレート制限またはブルートフォースの問題
• コンテンツセキュリティポリシーにおけるベストプラクティスの欠如。
• クッキーにおけるHttpOnlyまたはSecureフラグの欠如
• メールのベストプラクティス欠如（無効・不完全・欠落しているSPF/DKIM/DMARCレコードなど）
• 古いブラウザまたはパッチが適用されていないブラウザ（最新の安定版から2つ以上古いバージョン）のユーザーにのみ影響する脆弱性
• ソフトウェアバージョンの開示 / バナー識別の問題 / 詳細なエラーメッセージやヘッダー（スタックトレース、アプリケーションエラー、サーバーエラーなど）。
• 公式パッチが提供されてから1ヶ月未満のゼロデイ脆弱性については、ケースバイケースで報奨金が支給される場合があります。
• タブナビング
• オープンリダイレクト（追加のセキュリティへの影響が証明できない場合）
• ユーザーによる非現実的な操作を必要とする問題

#ルール・注意事項・規約

深刻度のレベルはセキュリティチームが内部で判断します。判断には https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator による計算を使用しています。

• 発見した脆弱性を第三者に開示することは禁止されています。
• 発見した脆弱性の悪用：報奨金の受け取り資格が失われ、法的措置の対象となります。
• 報奨金はトリアージ完了後に支払われ、通常7日以内を予定しています。
• 支払い方法はPayPalまたは銀行振込（Wise経由）となります
• ルール・注意事項・規約は予告なく変更される場合があります。

プログラムを通じて脆弱性の報告に成功した報告者には、以下の報奨金が支給されます：

脆弱性の報告は security@shockbyte.com までお送りください。 Shockbyteをより安全なプラットフォームにするためのご協力とご参加に、心より感謝申し上げます。