1.セキュリティの問題を検索
Vultr プラットフォーム、カスタマー ポータル、または Vultr の API に関係するセキュリティの問題を検索できます。
2.Vultr に連絡する。
バグを再現するための手順を含めてレポートを作成し、必要な場合は追加の証拠や参考資料を添付してください。
3.報酬を贈呈しています。
バグの重要度が高いほど、お支払金額が多くなります。
定義: スコープ: バグ バウンティ プログラムの対象は?
Vultr.com Web サイト my.vultr.com, www.vultr.com, api.vultr.com 全体がスコープ内にあります。受け入れ対象のカテゴリとして、インジェクション攻撃、認証または承認の欠陥、クロスサイト スクリプティング、機密データの漏洩、特権の昇格、その他の問題を挙げることができます。
どのような問題が スコープ外になりますか?
顧客インスタンス
Vultr.com の顧客インスタンスはスコープ内にありません。多くのインスタンスはデフォルトのホスト名を使用しているか、"vultr.com" で終わる逆引き DNS を使用しており、このような命名法を使用しているという事実は、IP がスコープ内にあるという考え方を暗示しません。特定の要素がスコープ内にあるかどうかに関する疑問がある場合、何か行動を起こす前に、Vultr にお問い合わせください。
DDoS 攻撃
あらゆる種類の DoS/DDoS 攻撃は厳格に禁止されています。
自動スキャン レポート
これらのレポートは一般的にノイズが非常に多く、偽陽性 (誤検出) の比率も高く、スコープ内にありません。
セキュリティが侵害された顧客
開発ユーザーのセキュリティが侵害されていること、または開発ユーザーが悪意のあるブラウザー拡張機能を使用していることを前提とするバグは、スコープ内にありません。
オペレーティング システム
Vultr が提供するオペレーティング システム内に存在する脆弱性は、Vultr が加えた変更によって直接引き起こされた問題ではない限り、スコープ内にありません。
非推奨のブラウザー
エンド ユーザーが非常に古いまたはレガシーの Web ブラウザーを使用していることを前提とするエクスプロイト (悪用) は、スコープ内にありません。
サポート チケット
大量のサポート チケットや返信を送信しないでください。このような送信を行うと、実際の問題を抱えている他の顧客への対応が遅くなる可能性があります。
未検証のアカウントに関するメール アドレスの変更
Vultr は、開発ユーザーが自分のアカウントに関するお支払いを行う前、または自分のメール アドレスの検証を実施する前に、開発ユーザーが検証なしでメール アドレスを変更することを許可しています。お支払い済みまたは検証実施済みのアカウントに対する保護策は、かなり強力です。
Vultr Marketplace
The Vultr Marketplace is designed for vendors to deploy vendor provided applications and images. Images provided by and deployed by vendors are out of scope for the Bug Bounty Program.
ドット付き Gmail アドレス
同じ Gmail アドレスを使用し、ドットを追加して複数の開発ユーザー アカウントを作成する方法に関連する問題は、スコープ外であるとみなされます。この題名を使用している Google のサポート記事を参照してください。
セキュリティ ヘッダーの欠落
(Content-Security-Policy または類似) ヘッダーの欠落を示すレポート、または DMARC ポリシーの推奨を示すレポートは、スコープ内にありません。
問題を報告
お客様が Vultr プラットフォーム上でセキュリティの脆弱性を見つけた場合、お客様と協力してその問題を解決することが Vultr の優先事項になります。Vultr のエンジニアリング チームはすべてのバグ バウンティ送信をすぐに確認し、確認可能なエクスプロイト (悪用) が倫理的な方法で開示された場合は報告者の方に報酬をお支払いします。報酬の水準は、エクスプロイト (悪用) の重大度、複雑さ、スコープに基づいて決定します。
報酬に値する報告に対して、Vultr アカウントのクレジット、またはお客様の PayPal アドレスへの振り込みという形でお支払いします。
Vultr はお客様のバグ レポートを受信しました。
Vultr エンジニアリング チームの 1 人のメンバーがその内容を確認し、短時間のうちにお客様にご連絡を差し上げます。