버그헌팅 프로그램에 참여할 때 주의할 점

보안프로젝트 매거진

버그헌팅 프로그램에 참여할 때 주의할 점은 허용되는 "공격 대상 범위"와 "공격 기법 종류"이다. 버그헌팅 프로그램을 사기업에서 도입하는 것은 매우 어려운 선택이다. 제일 중요한 것은 서비스 가용성이 유지되며 진행되어야 한다. 취약점 진단을 대중에게 허용하여 좋은 목적으로 하다가 서비스가 장애 되는 현상까지 수용할 수는 없다. 웹 서비스 대상으로 DDos공격이나 BOF 형태의 공격코드는 항목에 제외된다. 

또한, 어느 정도  위협 수준의 공격 이외에 나오는 취약점은 포상금이 없거나 선물로 보답한다. 회사에서는 보안투자를 고려하고 사업으로 진행하기 때문에 수용할 수 있는 위협 정도의 취약점까지 포상하면 프로그램 목적에 맞지 않기 때문이다.

아래는 구글 사이트와 버프스위트 계발 업체로 유명한 회사의 버그헌팅 프로그램 안내 페이지를 보겠다. 영문은 한국어로 번역을 했다. 이 범위를 벗어나면 보상금을 주지 않을뿐더러, 서비스 문제가 생겼을 때 법적 책임을 물 수 있다.

https://static.googleusercontent.com/about/appsecurity/reward-program/index.html                    

In principle, any Google-owned web service that handles reasonably sensitive user data is intended to be in scope. This includes virtually all the content in the following domains:

*.google.com

*.youtube.com

*.blogger.com

원칙적으로 민감한 사용자 데이터를 처리하는 모든 구글 소유 웹 서비스는 범위에 포함됩니다. 여기에는 다음 도메인의 거의 모든 콘텐츠가 포함됩니다.

*.google.com

*.youtube.com

*.blogger.com

http://blog.portswigger.net/2016/11/portswigger-bug-bounty-program.html                    

Website: https://portswigger.net/

Software: Burp Suite Professional and Burp Suite Free Edition (latest versions)

Subdomains of portswigger.net like support.portswigger.net are strictly out of scope. Do not test these.

support.portswigger.net과 같은 portswigger.net의 하위 도메인은 범위를 벗어납니다. 이것들을 시험하지 마십시오.