Remote Browser

Softcamp

브라우저 보안 문제를 엔드포인트로 부터 분리하여 대응하는 웹 격리 서비스

WEB Started At: Jul 21, 2021

Maximum Reward: 500,000

Ticket Count: 2 Last Ticket: 2

Summary

브라우저 보안 문제를 엔드포인트로 부터 분리하여 대응하는 웹 격리 서비스

Introduction

소개

웹 브라우징을 샌드박스로 보호되는 서버영역에서 수행하여 사용자에게 화면 정보만 전달하도록 구성하여 악성코드에 감염되거나 위험한 사이트로부터 사용자의 PC를 보호하는 보안시스템입니다.

리모트 브라우저 서버의 보안 취약점을 위주로 찾아주시기 바랍니다.
악성사이트 접속을 통해 사용자 PC에 위해를 가할 수 있는지, 서버 장악을 통한 사용자 공격이 가능한지 등 다양한 시도 바랍니다.
단, '원격 해제’버튼을 이용하여 해제 후 접속할 경우 원격브라우저 기능이 종료 되므로 범위를 벗어납니다.

참여 규칙

  • 영업 등, 보안 문제와 관계 없는 내용의 스팸 티켓을 제보하지 않습니다.
  • 프로그램 매니저와 협의 없이 티켓 내용을 외부에 공개하지 않습니다.
  • 테스트서버이므로 자유롭게 테스트 바랍니다.

평가 기준

아래 내용과 함께, 티켓 내용을 종합적으로 검토하여 보상 금액을 책정합니다.

  • 공격에 성공하기 위한 권한 필요도 (e.g 로그인 없이 가능, 일반 계정 필요, 관리자 계정 필요)
  • 취약점의 기술적 영향도 (e.g 공격 벡터, 공격 복잡도 등)
  • 공격 성공 시 비즈니스 영향도 (e.g 정보유출, 게시물 삭제 및 변조, 비인가 페이지 접근 등)
  • 취약점 식별 및 증명 과정의 구체성 (e.g 테스트 과정, 공격 증명 코드 등)

보상 가능한 경우

아래 내용에 해당하는 티켓에는 크레딧으로 보상합니다.

  • Server-Side 취약점
    • 서버 측 코드 실행
    • 인증 우회
    • 정보 탈취
    • 권한이 없는 콘텐츠 접근 및 변경, 삭제
    • 악성 사이트 접속을 통한 사용자 PC의 위해

보상에서 제외하는 경우

  • 이미 제보된 취약점
  • 취약점 재현이 불가능한 경우
  • 취약점 개념 증명 코드를 포함하지 않은 경우
  • 사용자 개입을 과도하게 요구하여 악용 가능성이 낮은 취약점
  • 발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점
  • 소프트캠프 임직원 및 관계자가 제출한 티켓

보상에서 제외되는 티켓 예시

  • 벨리데이션 누락으로 발생하는 단순 에러 제보
  • 비전파성(다른 사용자에게 영향을 줄 수 없는) Denial of Service
  • 위협 가능성만을 제시하는 정책 설정 (e.g. 패스워드 복잡도 미비 등)
  • Misconfigured DMARC Record
  • Missing Rate Limit

Assets

WEB 이름: Remote Brower 링크: https://browser-stg.security365.com

Reward

Critical

500,000
High

300,000
Medium

200,000
Low

100,000

Response Efficiency

준비중입니다.

Disclosure

준비중입니다.