セキュリティの脆弱性に関する開示

あなたが Etsy ユーザーで詐欺に関連したアクティビティアカウント間の紛争、または スパム について報告したい場合は、本ページ一番下のリンクをクリックして Etsy サポートまでご連絡ください。

なりすましフィッシング メールについて報告するには、spoof@etsy.com までご連絡ください。

セキュリティ研究者の皆さんへ

有効バグとは?

XSS、CSRF、SQLi、認証の問題、リモートコードエクセキューション、承認の問題などウェブアプリケーションの脆弱性は、有効なバグと見なされます。 脆弱性は、メインの www.etsy.com サイト、etsy.com API、www.etsystudio.com、または公式 Etsy モバイルアプリケーション内である必要があります。

Etsy のコントロール下にないシステム(第三者機関のサイトへのリンク/リダイレクト、または CDN など)は、バウンティの対象外となりますのでご注意ください。 あなたが Etsy に対してバグを開示する最初の人物であること、その脆弱性をご自身で発見していること、またいかなる情報も公開する前に Etsy にその問題に対処する十分な時間を与えること、という責任ある開示の原則に従っていなければなりません。

有効でないバグとは?

Etsy ではそれぞれのバグ報告をケースバイケースで審査していますが、以下にバウンティプログラムの必要条件を満たしていないよくある問題のいくつかを例として挙げます:

  • 優良事例。 単なるコンフィギュレーション/ポリシーに関するご提案の送信は受け付けていません。

  • コンセプトの証明のない、自動ツールによる検出結果。 コンセプトの証明のない、ssllabs.org のようなサイトや脆弱性検出スキャナーからコピーされた検出結果は、通常多くの疑似陽性を含んでいます。

  • etsy.com に関連していないセキュリティの報告。 Etsy のバウンティプログラムの対象外のドメインに関するレポートをお送りいただいても、却下されます。

  • 期限切れのブラウザ/プラグインに対して起こる問題。 最新のブラウザに関しての詳細は こちらから

  • ログアウトに関するクロスサイトリクエストフォージェリ。 この問題に関する詳しい情報は、このトピックについての Chris EvansMichal Zalewski(それぞれ英語)によるブログ投稿をご参照ください。

  • 重要ではないクッキーのセキュアフラグ属性の不在。 重要なセッションクッキーについては、MITM(HSTS 経由)に対する防御メカニズムとして、Etsy では全サイトに SSL を提供しています。 この件に関する詳しい情報は、こちらでご覧いただけます:http://codeascraft.com/2012/10/09/scaling-user-security/(英語)

  • 重要ではないクッキーの HTTPOnly フラグ属性の不在。 Etsyでは重要と思われるクッキーに関しては HTTPOnly フラグ属性を設定しており、その他クッキーについての HTTPOnly の不在を脆弱性とはみなしていません。

  • ログインまたはパスワードのリセットを通じてのユーザー名の列挙。 いくつかのウェブアプリケーションではユーザー名の列挙は脆弱性となりえますが、Etsy は公開されたマーケットプレイスであり、そのようなユーザー名は商品情報、フォーラムへの投稿、ショップなどを含む多数の方法を通じたデザインによって列挙されることが可能です。

  • ノンス使用の概念実証で報告される CSRF の問題。 送付する概念実証にノンスが使用されていないよう、提出物を今一度お確かめください。

テストの際の注意事項

  • スパム、ソーシャルエンジニアリング、またはサービスの拒否問題についてはテストを行わないようお願いいたします。

  • Etsy のマーケットプレイスの性質上、絞り込みなしでの自動スキャナーの使用は行わないようお願いいたします。 全サイトに渡って自動スキャナーでの検出を行うと、フォーラム、チーム、またはブログコメントなどでスパムの出現につながります。 自動スキャナーはスパムメッセージの送信や、正当な Etsy ショップからの商品の購入などを行うことがあります。 それに加え、Etsy にはスキャナーを認知し自動的にブロッキングする仕組みがありますので、ご留意ください。ブロックされると、サイトへのアクセスおよび、バウンティ報告フォームを使ってバウンティ報告することが、丸一日間できなくなります。 これらの行動は、Etsy ユーザーのマーケットプレイスの利用を阻害し、バウンティプログラムの精神に反するものです。

  • 「メッセージ」をテストしたい場合は、それ専用のテストアカウントを使い、サイト上の正当なユーザーにメッセージを送ることがないようご注意ください。 出品プロセスをテストする場合、すべてのテスト用の商品はテスト後ただちに削除されなくてはなりません。

  • 商品情報やその他ショップに関連する機能をテストしたい場合は、あなたのショップをデベロッパーモードに設定してください:https://www.etsy.com/developers/shop

  • これらのガイドラインに違反しているのを発見した場合、Etsy ではあなたのテストアカウントをミュートおよび/または禁止とする権利を有します。

  • テスト用に過剰な数のアカウントを作成することのないよう、またテストでの取引は少額(1 アメリカドル以下)に制限するようご注意ください。

バウンティレポートの評価方法

Etsy セキュリティチームでは、各バウンティレポートを送信された順に評価しています。 修正待ちになっているバグに関する重複したレポートを受けることも多いため、まずあなたから送られた問題がすでに報告されているかどうかをチェックします。

重複したレポートでない場合、上で挙げた要件(対象範囲、バグとして認められない問題など)に当てはまらず即時却下されなかった問題は、その問題が再現できるかどうか検証されます。 問題が再現できなかった場合、Etsy ではさらに詳しい情報を得るためあなたへメールをお送りします。

次に、このレポートは通常の機能上のバグではなく、修正が必要な実際のセキュリティ上の問題にあたるものかどうかを判定します。

あなたのレポートがこれらの基準を満たした場合、Etsy ではメールでバウンティを受け入れた事をお知らせし、この問題の修正に取り掛かります。

バウンティ(報奨)は?

基準を満たした脆弱性をご報告いただいたことへの報奨として、あなたのお名前は バグバウンティのページ に掲載され、Etsy セキリティチームの T シャツが贈られます! 際立ってクリエイティブもしくは重大なバグに関しては、Etsy の判断で報奨金が支払われます。 セキュリティ関連のカンファレンスであなたにばったりお会いしたら、ハイタッチをして、あなたがどんなに素晴らしい人かをみんなに言って回ります。 

脆弱性を報告するには 

こちらのフォームを使ってご連絡ください:https://www.etsy.com/bounty 

詐欺に関連したアクティビティアカウント間の紛争、または スパム についての報告はバウンティプログラムの対象外ですので、ご注意ください。 これらの問題に関しては、Etsy サポートまでご連絡ください。

バウンティ報告に関し、Etsy の従業員に直接連絡することはおやめください。 Etsy は、いついかなる理由であれ、プログラムへのメンバーシップを取り消す、または拒否する権利を有します。

税および制限について

このプログラムには未成年者、制裁リストに記載されている個人、または制裁リストに記載されている国に在住している個人は応募できません。 在住国および地域の法律によって発生しうる税への影響、または追加の制限に関しては、応募者ご自身の責任となります。

Etsy はこのプログラムを随時中止する権利を有しており、また報奨金を支払うかについての決定は完全に Etsy の判断によります。 応募者は、いかなる法も破るべきではありません。 また、いかなるサービスの妨害、個人データへの侵害も行うべきではありません。

Etsy では、セキュリティリサーチャーのみなさまの、コミュニティの安全を守ろうという努力に心から感謝しています。 これまで、責任ある脆弱性の開示に携わってくださった方のリストは こちら でご覧いただけます。

Did this help?
Why didn’t this article help you? (select all that apply, required question)

Thanks for your feedback!

お困りですか?

サポートに連絡する