webhacking.kr

프로그램 소개

소개

webhacking.kr 에서는 웹 어플리케이션에서 발생 가능한 다양한 취약점과, 공격 기술을 학습할 수 있는 워게임 문제를 제공하며, 문제 풀이의 즐거움과 해킹보안 기술에 대한 관심을 공유할 수 있는 디스코드 채널을 운영하고 있습니다.

보안 취약점으로 인해 발생 가능한 계정 정보 유출, 다른 이용자의 정보 임의 수정, 서비스 이용 방해 행위를 방지하기 위해 본 프로그램을 게시하였습니다.

참여 규칙

• 문제 풀이를 위해 존재하는 취약점을 제보하지 않습니다.
• 영업 등, 보안 문제와 관계 없는 내용의 스팸 티켓을 제보하지 않습니다.
• 운영중인 서비스이므로 서비스 가용성 및 무결성에 영향을 주는 행위를 금지합니다.
• 해당 프로그램에 제출된 취약점은 특별한 사유가 없을 시 공개함을 원칙으로 합니다.
  • 공개 여부는 프로그램 매니저가 결정합니다.
• 취약점의 조치가 완전히 완료되기 전까지 티켓 내용을 외부에 공개하지 않습니다.

평가 기준

아래 내용과 함께, 티켓 내용을 종합적으로 검토하여 보상 금액을 책정합니다.

• 공격에 성공하기 위한 권한 필요도 (e.g 로그인 없이 가능, 일반 계정 필요)
• 취약점의 기술적 영향도 (e.g 공격 벡터, 공격 복잡도 등)
• 공격 성공 시 비즈니스 영향도 (e.g 정보유출, 데이터 삭제 및 변조, 비인가 페이지 접근 등)
• 취약점 식별 및 증명 과정의 구체성 (e.g 테스트 과정, 공격 증명 코드 등)

보상 가능한 경우

아래 내용에 해당하는 티켓에는 크레딧으로 보상합니다.

• Client Side 취약점
  • 클라이언트 측 코드 실행
  • Header Injection
  • 정보 탈취
• Server Side 취약점
  • 서버 측 코드 실행
  • 인증 우회
  • 정보 탈취
  • 권한이 없는 콘텐츠 접근 및 변경, 삭제

보상에서 제외되는 경우

• 악성 URL 클릭등의 User Interaction이 요구되는 Client Side 취약점 (e.g Reflected XSS, CSRF 등)
  • 보안 취약점이 맞지만, 서비스 특성상 파급력이 적어 조치하지 않습니다.
• 문제 풀이를 위해 존재하는 취약점
• 서비스에 영향(무결성, 가용성 침해)을 주지 않는 취약점
• 이미 제보된 취약점
• 취약점 재현이 불가능한 경우
• 취약점 개념 증명 코드를 포함하지 않은 경우
• 사용자 개입을 과도하게 요구하여 악용 가능성이 낮은 취약점
• 발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점

보상에서 제외되는 티켓 예시

• 벨리데이션 누락으로 발생하는 단순 에러 제보
• 비전파성(다른 사용자에게 영향을 줄 수 없는) Denial of Service
• 위협 가능성만을 제시하는 정책 설정 (e.g. 패스워드 복잡도 미비 등)
• Misconfigured DMARC Record
• Missing Rate Limit