バグバウンティプログラム
私たちは責任あるセキュリティ研究を歓迎します。脆弱性を報告して、JieGou のセキュリティ確保に貢献し、最大 $2,000 の報奨金を獲得してください。
対象範囲
対象システム
console.jiegou.ai — メインアプリケーション
mcp.jiegou.ai — MCP サーバー
jiegou.ai — マーケティングウェブサイト
JieGou Chrome 拡張機能 — ブラウザ拡張機能(Chrome ウェブストア)
対象外
- サードパーティサービス(Firebase、AWS、Stripe、LLM プロバイダー)
- JieGou 従業員に対するソーシャルエンジニアリング攻撃
- サービス拒否(DoS/DDoS)攻撃
- 物理的セキュリティ攻撃
- 事前承認なしの自動スキャン
- サービスの可用性を低下させる可能性のあるテスト
報奨金ティア
重大 $500 – $2,000
- リモートコード実行(RCE)
- 認証バイパス
- データアクセスにつながる SQL/NoSQL インジェクション
- 権限昇格(Viewer から Admin/Owner)
- アカウント間の不正な顧客データアクセス
高 $200 – $500
- 影響が実証されたクロスサイトスクリプティング(XSS)
- 機密操作に対するクロスサイトリクエストフォージェリ(CSRF)
- サーバーサイドリクエストフォージェリ(SSRF)
- 機密データを露出する安全でない直接オブジェクト参照(IDOR)
- レスポンスでの API キーまたは認証情報の露出
中 $50 – $200
- 情報漏洩(スタックトレース、デバッグ情報、内部 IP)
- 悪用経路が実証されたセキュリティヘッダーの欠如
- セッション固定
- サブドメインテイクオーバー
低 謝辞
- 悪用経路のないベストプラクティスヘッダーの欠如
- 非機密ページでのクリックジャッキング
- 機密データを含まない詳細なエラーメッセージ
- SSL/TLS 設定の改善
参加規則
- 1 顧客データにアクセス、変更、削除しないでください。誤って顧客データにアクセスした場合は、直ちに停止して報告してください。
- 2 サービスの可用性を低下させる可能性のある操作を行わないでください(負荷テスト、DoS、リソース枯渇は禁止)。
- 3 専用のテストアカウントのみを使用してください。テスト用に自分のアカウントを作成し、他のユーザーのアカウントでテストしないでください。
- 4 脆弱性を迅速に報告し、公開前に合理的な修復時間を確保してください。
- 5 事前の書面による承認なしに、本番システムに対して自動スキャナーを使用しないでください。
- 6 すべての適用法を遵守してください。
報告方法
以下を含めてください
- 脆弱性の説明
- 再現手順
- 概念実証(スクリーンショット、動画、またはコード)
- 影響評価
- 推奨される修正方法(任意)
- フォローアップ用の連絡先情報
対応タイムライン
1
受領確認
48 時間 2
トリアージと重大度評価
5 営業日 3
修復(重大)
7 日 4
修復(高)
30 日 5
修復(中/低)
90 日 6
報奨金支払い
修正確認後 30 日 セーフハーバー
JieGou は以下の研究者に対して法的措置を取りません:
- 本ポリシーおよび参加規則に従う
- 善意で脆弱性を報告する
- 脆弱性の実証に必要な範囲を超えて悪用しない
- 顧客データにアクセス、変更、または窃取しない
本プログラムは雇用または請負関係を構成するものではありません。報奨金は、重大度、影響、および報告の品質に基づいて JieGou が裁量で決定します。JieGou は本プログラムをいつでも変更または終了する権利を留保します。