한국CISSP협회 대표홈페이지

(사)한국씨아이에스에스피협회

(ISC)² Korea Chapter(사단법인 한국CISSP협회)의 대표 홈페이지입니다.

WEB Started At: Jun 7, 2021

Maximum Reward: 100,000

Ticket Count: 39 Last Ticket: 39

Summary

(ISC)² Korea Chapter(사단법인 한국CISSP협회)의 대표 홈페이지입니다.

Introduction

소개

(ISC)² Korea Chapter(사단법인 한국CISSP협회)의 대표 홈페이지는 국내 CISSP 자격증 소지자의 보수교육(CPE)과 보안 세미나, 협회 내 소통 활동을 장려하기 위한 공간입니다. CISSP(Certified Information Systems Security Professional, 국제공인 정보시스템 보안전문가)은 ISO/IEC Standard 17024의 엄중한 기준에 부합하는 자격증이며, 미국 국가안보국(NSA)의 정보보호프로그램의 기본자격증으로 채택된 바 있습니다.

회원의 개인정보 및 계정유출, 열람 권한이 없는 게시물 접근과 같은 보안 사고를 미연에 방지하여 협회 회원들에게 안전한 소통 환경을 제공하기 위해 본 프로그램을 운영합니다.

참여 규칙

  • 영업 등, 보안 문제와 관계 없는 내용의 스팸 티켓을 제보하지 않습니다.
  • 프로그램 매니저와 협의 없이 티켓 내용을 외부에 공개하지 않습니다.
  • 운영중인 서비스이므로 서비스 가용성에 영향을 주는 행위는 삼가하여 주시기 바랍니다.

평가 기준

아래 내용과 함께, 티켓 내용을 종합적으로 검토하여 보상 금액을 책정합니다.

  • 공격에 성공하기 위한 권한 필요도 (e.g 로그인 없이 가능, 일반 계정 필요, 관리자 계정 필요)
  • 취약점의 기술적 영향도 (e.g 공격 벡터, 공격 복잡도 등)
  • 공격 성공 시 비즈니스 영향도 (e.g 정보유출, 게시물 삭제 및 변조, 비인가 페이지 접근 등)
  • 취약점 식별 및 증명 과정의 구체성 (e.g 테스트 과정, 공격 증명 코드 등)

보상 가능한 경우

아래 내용에 해당하는 티켓에는 크레딧으로 보상합니다.

  • 인증 우회 및 계정 탈취
  • 열람 권한이 없는 콘텐츠 접근 및 생성
  • 원격 코드 실행 (RCE)
  • 클라이언트 측 코드 실행 (XSS)
  • 정보 탈취, 임의 파일 업로드 등 공격으로 이어지는 취약점 (Injection, File Inclusion, CSRF 등)

보상에서 제외하는 경우

  • 이미 제보된 취약점
  • 취약점 재현이 불가능한 경우
  • 취약점 개념 증명 코드를 포함하지 않은 경우
  • 사용자 개입을 과도하게 요구하여 악용 가능성이 낮은 취약점
  • 발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점
  • CISSP 협회 임직원 및 관계자가 제출한 티켓

보상에서 제외되는 티켓 예시

  • 벨리데이션 누락으로 발생하는 단순 에러 제보
  • 비전파성(다른 사용자에게 영향을 줄 수 없는) Denial of Service
  • 위협 가능성만을 제시하는 정책 설정 (e.g. 패스워드 복잡도 미비 등)
  • Misconfigured DMARC Record
  • Missing Rate Limit

Assets

WEB 이름: website 링크: https://isc2chapter.kr/

Reward

Critical

100,000
High

80,000
Medium

60,000
Low

50,000
None

10,000

Response Efficiency

준비중입니다.

Disclosure

준비중입니다.