트레이딩뷰
버그 바운티 프로그램
취약점에 대해 알려주시려면 HackerOne을 통해 보고서를 제출해 주시기 바랍니다.
프로그램 스코프
당사 서비스, 인프라 스트럭쳐, 웹 및 모바일 앱에서 다음과 같은 시큐어리티 취약성을 다루는 리포트에 대해 보상해 드립니다:
리워드
발견된 취약성 및 보안성 임팩트에 따라 리워드가 결정됩니다. 디테일은 아래에.
하이
당사 전체 플랫폼에 영향을 끼치는 취약성에 대해
- 리모트 코드 엑시큐션 (RCE)
- 어드민 액세스 취득
- 임팩트가 큰 인젝션
- 로컬 화일 및 데이터베이스 무제한 액세스
- 서버사이드 리퀘스트 포저리 (SSRF)
- 크리티컬 인포 공개
미디엄
유저 인터랙션이 필요없고 많은 유저에게 영향을 끼치는 취약성에 대해
- 임팩트가 큰 스토어드 크로스 사이트 스크립팅 (XSS)
- 유저 데이터를 바꾸거나 프라이빗 데이터 액세스를 허용하는 인증 바이패스
- 인시큐어 다이렉트 오브젝트 레퍼런스 (IDOR)
- 서브도메인 테이크오버
로우
유저 인터랙션이 있어야 하거나 개인 유저에게 영향을 끼치는 취약성에 대해
- 크로스-사이트 스크립팅 (XSS), 셀프-XSS 는 빼고.
- 크로스-사이트 리퀘스트 포저리 (CSRF)
- URL 리디렉션
- 유저 레퓨테이션 조작
보상액은 다를 수 있습니다. 실제 보상은 심각성, 진위성 및 버그 부당 이용 가능성 및 환경 그 밖에 보안에 영향을 끼치는 정도에 따라 달라집니다.
위키, 블로그 등의 보조 서비스에 대한 취약성 및 '베타', '스테이징', '데모' 등의 넌-프로덕션 환경에 대한 취약성은 당사 서비스에 전체로써 영향을 끼치거나 또는 민감한 유저 데이터 유출 야기시에 리워드를 해 드립니다.
규정
- 버그 리포트에는 발견된 취약성에 대한 디테일한 설명 및 재연 절차 또는 증명이 들어 있어야 합니다. 자세한 취약성 정보를 적지 않으면 리포트 리뷰에 많은 시간이 걸리거나 또는 귀하의 리포트가 리젝트될 수도 있습니다.
- 임팩트를 주기 위해 취약점을 서로 연결해야 하는 경우가 아니면 보고서당 하나의 취약점만 제출하십시오.
- 알려지지 않은 취약점을 가장 먼저 신고한 사람에게만 보상이 주어집니다. 중복이 발생하면 취약점을 완전히 재현할 수 있는 첫 번째 신고만 보상이 주어집니다.
- 취약성을 찾아 내기 위해 오토툴이나 스캐너를 써서는 안됩니다. 그러한 리포트는 무시합니다.
- 당사 서비스나 클라이언트 데이터 등의 데이터를 해칠 수 있는 그 어떠한 공격도 해서는 안됩니다. 디도스, 스팸, 브루트 포스 어택 등은 허용되지 않습니다.
- 귀하는 명백한 동의없이 다른 유저에 관여해서는 안됩니다.
- 당사 직원, 유저 또는 인프라 스트럭쳐 등에 대해 소셜 엔지니어링, 피싱 또는 피지컬 어택 등과 같은 비기술적인 어택을 시도해서는 안됩니다.
- 재현 가능한 단계가 포함된 자세한 보고서를 제공하십시오. 보고서가 문제를 재현할 만큼 충분히 상세하지 않은 경우 보상을 받을 수 없습니다.
- 하나의 기본 문제로 인해 여러 취약점이 발생하면 하나의 현상금이 수여됩니다.
- 개인정보 침해, 데이터 파기, 서비스 중단 또는 저하를 방지하기 위해 성실한 노력을 기울이시기 바랍니다.
범위를 벗어난 취약점
다음 문제는 범위를 벗어난 것으로 간주됩니다:
- 유저 소프트웨어 취약성이나 유저 소프트웨어, 어카운트, 이메일, 폰 등에 대하여 풀 액세스를 필요로 하는 취약성;
- 써드 파티 서비스의 취약성이나 리크;
- 써드 파트 소프트웨어/프로토콜, 놓친 프로텍션 및 보안 위협을 만들어 내지 않는 베스트 프랙티스를 벗어남으로 인한 취약성;
- 별다른 보안 임팩트나 부당 이용 가능성이 없는 취약성;
- 유저가 비상식적인 액션을 해야 나오는 취약성;
- 퍼블릭 또는 넌센시티브 인포 노출;
- 호모그래프 (동형이의어) 어택;
- 악성코드가 심겨졌거나, jailbroken 또는 modified 디바이스 및 애플리케이션을 필요로 하는 취약성.
- 서비스 중단으로 이어질 수 있는 모든 활동.
보상을 받지 못하는 이러한 취약점의 몇 가지 예가 있습니다:
- EXIF 지리적 위치 데이터가 제거되지 않았습니다.
- 민감한 작업이 없는 페이지에 대한 클릭재킹.
- 인증되지 않은 양식 또는 민감한 작업이 없는 양식에 대한 CSRF(교차 사이트 요청 위조)는 CSRF에서 로그아웃하십시오.
- 개념 증명이 작동하지 않는 약한 암호 또는 TLS 구성.
- 공격 벡터를 표시하지 않는 콘텐츠 스푸핑 또는 인젝션 이슈.
- 비인증 엔드포인트에 대한 레이트 리미팅 또는 브루트 포스 이슈.
- 쿠키에 HttpOnly 또는 Secure 플래그가 없습니다.
- 소프트웨어 버전 공개. 배너 식별 문제. 설명 오류 메시지 또는 헤더(예: 스택 트레이스, 애플리케이션 또는 서버 에러).
- 공식 패치가 적용된 지 1개월 미만인 공개 제로데이 취약점은 사례별로 수여됩니다.
- 탭내빙.
- 사용자 존재. 사용자, 이메일 또는 전화 번호 열거.
- 암호 복잡성 제한이 없습니다.
바운티 헌터즈 (Bounty Hunters)
밑의 리스트에 포함된 모든 연구원 분들의 헌신에 감사를 표합니다.
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh