セキュリティ — 責任ある情報開示
セキュリティを真剣に取り組んでいます。
対象範囲
- medova.health
- API routes at medova.health
- Next.jsアプリ
- Supabase REST API
対象外
- Hetznerインフラ
- サードパーティ
- DoS/DDoS
- ソーシャルエンジニアリング
- 物理セキュリティ
ルール
- データを破壊しない
- 可用性を攻撃しない
- 他人のアカウントにアクセスしない
- 自分のアカウントでテスト
- 公開前に報告
探しているもの
- SQL Injection, XSS, CSRF
- 認証バイパス
- IDOR
- APIキーの漏洩
- CORS
- Rate limiting
- Open redirects
報酬
提供するもの:
- Hall of Fame
- CEOからのLinkedIn推薦
- ポートフォリオ参考
- ビデオ通話Q&A
- 長期的な認知
プロセス
- レポート送信
- 48時間以内に確認
- 7日以内に評価
- 30日以内に修正
- 修正後にHall of Fame
深刻度
| レベル | 例 |
|---|---|
| Critical | RCE, 完全な認証バイパス |
| High | IDOR |
| Medium | XSS |
| Low | ヘッダー不足 |
セキュリティインフラ
- 858+ RLS
- CSP
- HSTS
- Rate limiting
- ISO 27001
- GDPR
Hall of Fame
最初の一人になりましょう。脆弱性を報告してください。