버그캠프 (Bugcamp)

ENKI

버그바운티 플랫폼 BUGCAMP

WEB Started At: May 24, 2021

Maximum Reward: 2,000,000

Ticket Count: 21 Last Ticket: Sep 13, 2022

Summary

버그바운티 플랫폼 BUGCAMP

Introduction

버그캠프는 버그바운티 프로그램의 등록부터 해커와 소통 및 보상지급까지 편리하게 운영할 수 있는 버그바운티 플랫폼입니다.

플랫폼을 이용하는 화이트해커와 기업이 안전하게 사용할 수 있도록 보안 문제를 해결하는 것을 목표로 합니다.

참여 규칙

  • 영업 등, 보안 문제와 관계 없는 내용의 스팸 티켓을 제보하지 않습니다.
  • 과한 트래픽을 생성하는 테스트, DDOS 공격은 하지 않습니다.
  • 다른 사용자에게 피해를 끼칠 수 있는 행위는 삼가주시길 바랍니다.
  • 물리적인 접근이 필요하거나 사회공학적 공격 시도는 금지합니다.
  • 실서비스 대상이므로 서비스 가용성 및 무결성에 영향을 주는 행위를 삼가합니다.
  • 중복된 티켓이 제보 될 경우 첫 번째로 제출된 티켓만 유효한 티켓으로 인정됩니다.

보상에서 제외되는 티켓

아래와 같은 종류의 티켓은 보상에서 제외됩니다.

  • 이미 제보된 취약점
  • 무작위 대입 공격
  • 취약점 개념 증명 코드(PoC)를 포함하지 않은 제보
  • 취약점 재현이 불가능한 경우
  • 공격자에게 악용될 소지가 현격히 낮은 취약점
  • 위협 가능성만을 제시하는 제보(e.g. 패스워드 복잡도 미흡, 서버 정보 노출 등)
  • 과한 사용자 개입을 요구하여 악용 가능성이 낮은 취약점
  • 사용자 디바이스에 대한 MITM 공격 또는 물리적 엑세스가 필요한 공격
  • 보안에 영향을 주지 않는 UI/UX 문제
  • Missing Rate Limit

제보 응답성

버그캠프와 버그바운티 프로그램에 참여하는 해커는 책임있는 공개(Responsible Disclousure) 정책을 준수합니다.

  • 프로그램 매니저와 협의 없이 티켓 내용을 외부에 공개하지 않습니다.
  • 프로그램에 티켓이 접수되면, 영업일 기준 48시간 내에 프로그램 담당자가 제보된 티켓을 확인하고, 처리 현황을 업데이트 합니다.
  • 접수된 내용을 바탕으로 7영업일 내에 취약점에 대한 유/무효 여부 및 심각도를 평가합니다.
    (단, 접수된 제보 내용에 대한 추가확인 필요한 경우, 평가에 시간이 더 필요할 수 있습니다.)
  • 티켓이 유효하다고 판단된 경우, 2영업일 내에 평가된 심각도에 따라 바운티 보상을 지급합니다.
  • 티켓이 유효하다고 판단된 경우, 가능한 빠른 시일 내에 취약점을 패치합니다.
    (취약점의 심각도 및 내부 사정에 따라 패치 완료까지 소요되는 시간은 상이할 수 있습니다.
  • 패치가 완료된 후, 취약점에 대한 패치가 잘 되었는지 확인이 필요하다고 판단될 경우 제보자에게 이행점검을 요청할 수 있습니다.
    제보자가 이행점검을 마치면 소정의 인센티브를 지급합니다.
    (티켓 코멘트를 통해 어떤 방식으로 이행점검을 진행했는지 간략한 설명을 추가해 주세요.)

공개 정책

  • 모든 티켓은 티켓 상태가 종료(resolved)되면 핵티비티에 공개하는 것을 원칙으로 합니다.

정책 업데이트 기록

  • [2022.08.29] 보상에서 제외되는 취약점에 “Missing Rate Limit” 항목이 추가되었습니다.
  • [2022.08.29] 프로그램의 에셋(바운티 대상) 범위가 수정되었습니다.
    <기존> https://api.bugcamp.io 삭제됨
    <변경> https://bugcamp.io/api 추가됨

Assets

WEB 이름: 버그캠프 웹 사이트 링크: https://bugcamp.io
WEB 이름: 버그캠프 API 서버 링크: https://bugcamp.io/api

Reward

Critical

2,000,000
High

500,000
Medium

200,000
Low

100,000

Response Efficiency

18 hours

Average time to first response

4 days 23 hours

Average time to reward

2 days 13 hours

Average time to resolution

Program Statistics

200,000

Total Bounty

66,000

Average Bounty

200,000

Bounties paid in last 90 days

23

Ticket count in last 90 days