보안 취약점 보상 프로그램
Challengermode에서는 사용자 데이터의 보안이 최우선입니다. 그래서 보안을 테스트하기 위해 외부로부터의 도움을 환영하는 보상 프로그램을 운영하고 있습니다. 만약 Challengermode에서 보안 취약점을 발견했다고 생각한다면 즉시 알려주시기 바랍니다.
책임 있는 연구 및 공개 지침
- 서비스를 방해하지 마십시오. 다른 사람들의 서비스 저하를 유발할 가능성이 있는 스캔 기술은 자제해주세요.
- 본인 데이터만을 테스트하세요. 접근 또는 노출은 본인 데이터에 대해서만 진행되어야 합니다.
- 서비스 약관을 준수하세요.
- 만약 내부 시스템에 접속했다면 즉시 테스트를 중단하고 보고하세요.
- 취약점을 시연하기 위해 필요한 정보만을 수집하세요. 연구를 수행하는 데 사용된 시스템에 다운로드되거나 캐시되거나 기타 방식으로 저장된 Challengermode 정보를 안전하게 삭제하세요.
- Challengermode가 취약점을 수정할 때까지 해당 취약점에 관한 정보를 공개하지 마십시오.
보상을 받기 위해서는 Challengermode에서 유효한 것으로 인정된 제출이어야 합니다. 요청의 유효성과 제공된 보상 보상을 결정하기 위해 다음 가이드라인을 사용합니다.
재현 가능성
Challengermode 엔지니어가 신고된 보안 결함을 재현할 수 있어야 합니다. 너무 모호하거나 명확하지 않은 신고는 보상 대상이 아닙니다. 명확히 작성된 설명과 작동하는 코드가 포함된 신고가 보상을 받을 가능성이 높습니다.
심각도
보다 심각한 버그는 더 큰 보상으로 만나게 될 것입니다.
인정하는 취약점의 예시
- 크로스 사이트 스크립팅(XSS)
- 사이트 간 요청 위조 (CSRF/XSRF)
- 서버 측 코드 실행
- 인증 또는 권한 부족
- 혼합 콘텐츠 스크립트
인정하지 않는 취약점의 예시
- 서비스 거부 (DOS) 및 스팸 취약점
- Challengermode와 통합된 제3자 웹사이트의 보안 문제
- 사회 공학
- "최선의 사례"를 따르지 않는 실패들 (예: 일반적인 HTTP 헤더, 링크 만료, 이메일 유효성 검사 또는 비밀번호 정책)
- 분산적인 최종 일관성 프로세스의 지연
보상
보상 시스템은 유연하며 정해진 상한선이나 하한선이 없습니다. 금액은 오로지 취약점의 심각도에 따라 달라집니다.취약점이 수정된 후 보상은 PayPal (또는 Challengermode 계정)을 통해 보내질 것입니다. 이러한 서비스는 거래 처리 수수료를 징수하며, 이는 수여된 금액에서 공제됩니다.이 프로그램은 재량적이며 취소할 권리가 Challengermode에게 있습니다. 보상을 지불할지 여부를 결정하는 것은 우리 재량에 달려 있습니다.
보고
취약점 신고나 프로그램에 관한 질문이 있으시면 security@challengermode.com로 이메일을 보내주세요.