원격 브라우저(웹 격리 솔루션)

소개

웹 브라우징을 샌드박스로 보호되는 서버영역에서 수행하여 사용자에게 화면 정보만 전달하도록 구성하여 악성코드에 감염되거나 위험한 사이트로부터 사용자의 PC를 보호하는 보안시스템입니다.

리모트 브라우저 서버의 보안 취약점을 위주로 찾아주시기 바랍니다.
악성사이트 접속을 통해 사용자 PC에 위해를 가할 수 있는지, 서버 장악을 통한 사용자 공격이 가능한지 등 다양한 시도 바랍니다.
단, '원격 해제’버튼을 이용하여 해제 후 접속할 경우 원격브라우저 기능이 종료 되므로 범위를 벗어납니다.

참여 규칙

• 리스트영업 등, 보안 문제와 관계 없는 내용의 스팸 티켓을 제보하지 않습니다.
• 프로그램 매니저와 협의 없이 티켓 내용을 외부에 공개하지 않습니다.
• 테스트서버이므로 자유롭게 테스트 바랍니다.

평가 기준

아래 내용과 함께, 티켓 내용을 종합적으로 검토하여 보상 금액을 책정합니다.

• 공격에 성공하기 위한 권한 필요도 (e.g 로그인 없이 가능, 일반 계정 필요, 관리자 계정 필요)
• 취약점의 기술적 영향도 (e.g 공격 벡터, 공격 복잡도 등)
• 공격 성공 시 비즈니스 영향도 (e.g 정보유출, 게시물 삭제 및 변조, 비인가 페이지 접근 등)
• 취약점 식별 및 증명 과정의 구체성 (e.g 테스트 과정, 공격 증명 코드 등)

유효한 티켓

아래 내용에 해당하는 티켓은 유효한 티켓으로 인정됩니다.

• Client-Side 취약점
  • 클라이언트 측 코드 실행
  • CSRF
  • Header Injection
  • 정보 탈취
• Server-Side 취약점
  • 서버 측 코드 실행
  • 인증 우회
  • 정보 탈취
  • 권한이 없는 콘텐츠 접근 및 변경, 삭제

유효하지 않은 티켓

• 이미 제보된 취약점
• 취약점 재현이 불가능한 경우
• 취약점 개념 증명 코드를 포함하지 않은 경우
• 사용자 개입을 과도하게 요구하여 악용 가능성이 낮은 취약점
• 발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점
• 소프트캠프 임직원 및 관계자가 제출한 티켓

범위 외의 티켓

• 벨리데이션 누락으로 발생하는 단순 에러 제보
• 비전파성(다른 사용자에게 영향을 줄 수 없는) Denial of Service
• 위협 가능성만을 제시하는 정책 설정 (e.g. 패스워드 복잡도 미비 등)
• Misconfigured DMARC Record
• Missing Rate Limit