Summary
버그바운티 플랫폼 BUGCAMP
Introduction
버그캠프는 버그바운티 프로그램의 등록부터 해커와 소통 및 보상지급까지 편리하게 운영할 수 있는 버그바운티 플랫폼입니다.
플랫폼을 이용하는 화이트해커와 기업이 안전하게 사용할 수 있도록 보안 문제를 해결하는 것을 목표로 합니다.
ㅤ
참여 규칙
- 영업 등, 보안 문제와 관계 없는 내용의 스팸 티켓을 제보하지 않습니다.
- 과한 트래픽을 생성하는 테스트, DDOS 공격은 하지 않습니다.
- 다른 사용자에게 피해를 끼칠 수 있는 행위는 삼가주시길 바랍니다.
- 물리적인 접근이 필요하거나 사회공학적 공격 시도는 금지합니다.
- 실서비스 대상이므로 서비스 가용성 및 무결성에 영향을 주는 행위를 삼가합니다.
- 중복된 티켓이 제보 될 경우 첫 번째로 제출된 티켓만 유효한 티켓으로 인정됩니다.
ㅤ
보상에서 제외되는 티켓
아래와 같은 종류의 티켓은 보상에서 제외됩니다.
- 이미 제보된 취약점
- 무작위 대입 공격
- 취약점 개념 증명 코드(PoC)를 포함하지 않은 제보
- 취약점 재현이 불가능한 경우
- 공격자에게 악용될 소지가 현격히 낮은 취약점
- 위협 가능성만을 제시하는 제보(e.g. 패스워드 복잡도 미흡, 서버 정보 노출 등)
- 과한 사용자 개입을 요구하여 악용 가능성이 낮은 취약점
- 사용자 디바이스에 대한 MITM 공격 또는 물리적 엑세스가 필요한 공격
- 보안에 영향을 주지 않는 UI/UX 문제
- Missing Rate Limit
ㅤ
제보 응답성
버그캠프와 버그바운티 프로그램에 참여하는 해커는 책임있는 공개(Responsible Disclousure) 정책을 준수합니다.
- 프로그램 매니저와 협의 없이 티켓 내용을 외부에 공개하지 않습니다.
- 프로그램에 티켓이 접수되면, 영업일 기준 48시간 내에 프로그램 담당자가 제보된 티켓을 확인하고, 처리 현황을 업데이트 합니다.
- 접수된 내용을 바탕으로 7영업일 내에 취약점에 대한 유/무효 여부 및 심각도를 평가합니다.
(단, 접수된 제보 내용에 대한 추가확인 필요한 경우, 평가에 시간이 더 필요할 수 있습니다.) - 티켓이 유효하다고 판단된 경우, 2영업일 내에 평가된 심각도에 따라 바운티 보상을 지급합니다.
- 티켓이 유효하다고 판단된 경우, 가능한 빠른 시일 내에 취약점을 패치합니다.
(취약점의 심각도 및 내부 사정에 따라 패치 완료까지 소요되는 시간은 상이할 수 있습니다. - 패치가 완료된 후, 취약점에 대한 패치가 잘 되었는지 확인이 필요하다고 판단될 경우 제보자에게 이행점검을 요청할 수 있습니다.
제보자가 이행점검을 마치면 소정의 인센티브를 지급합니다.
(티켓 코멘트를 통해 어떤 방식으로 이행점검을 진행했는지 간략한 설명을 추가해 주세요.)
ㅤ
공개 정책
- 모든 티켓은 티켓 상태가 종료(resolved)되면 핵티비티에 공개하는 것을 원칙으로 합니다.
ㅤ
정책 업데이트 기록
- [2022.08.29] 보상에서 제외되는 취약점에 “Missing Rate Limit” 항목이 추가되었습니다.
- [2022.08.29] 프로그램의 에셋(바운티 대상) 범위가 수정되었습니다.
<기존> https://api.bugcamp.io 삭제됨
<변경> https://bugcamp.io/api 추가됨
Assets
WEB 이름: 버그캠프 웹 사이트 링크: https://bugcamp.io
WEB 이름: 버그캠프 API 서버 링크: https://bugcamp.io/api
Reward
Critical
2,000,000
High
500,000
Medium
200,000
Low
100,000
Response Efficiency
50 days 13 hours
Average time to first response6 days 11 hours
Average time to reward52 days 14 hours
Average time to resolutionProgram Statistics
380,000
Total Bounty95,000
Average Bounty0
Bounties paid in last 90 days0
Ticket count in last 90 days