한국CISSP협회 대표홈페이지

소개

(ISC)² Korea Chapter(사단법인 한국CISSP협회)의 대표 홈페이지는 국내 CISSP 자격증 소지자의 보수교육(CPE)과 보안 세미나, 협회 내 소통 활동을 장려하기 위한 공간입니다. CISSP(Certified Information Systems Security Professional, 국제공인 정보시스템 보안전문가)은 ISO/IEC Standard 17024의 엄중한 기준에 부합하는 자격증이며, 미국 국가안보국(NSA)의 정보보호프로그램의 기본자격증으로 채택된 바 있습니다.

회원의 개인정보 및 계정유출, 열람 권한이 없는 게시물 접근과 같은 보안 사고를 미연에 방지하여 협회 회원들에게 안전한 소통 환경을 제공하기 위해 본 프로그램을 운영합니다.

참여 규칙

• 영업 등, 보안 문제와 관계 없는 내용의 스팸 티켓을 제보하지 않습니다.
• 프로그램 매니저와 협의 없이 티켓 내용을 외부에 공개하지 않습니다.
• 운영중인 서비스이므로 서비스 가용성에 영향을 주는 행위는 삼가하여 주시기 바랍니다.
  
  

평가 기준

아래 내용과 함께, 티켓 내용을 종합적으로 검토하여 보상 금액을 책정합니다.

• 공격에 성공하기 위한 권한 필요도 (e.g 로그인 없이 가능, 일반 계정 필요, 관리자 계정 필요)
• 취약점의 기술적 영향도 (e.g 공격 벡터, 공격 복잡도 등)
• 공격 성공 시 비즈니스 영향도 (e.g 정보유출, 게시물 삭제 및 변조, 비인가 페이지 접근 등)
• 취약점 식별 및 증명 과정의 구체성 (e.g 테스트 과정, 공격 증명 코드 등)
  
  

보상 가능한 경우

아래 내용에 해당하는 티켓에는 크레딧으로 보상합니다.

• 인증 우회 및 계정 탈취
• 열람 권한이 없는 콘텐츠 접근 및 생성
• 원격 코드 실행 (RCE)
• 클라이언트 측 코드 실행 (XSS)
• 정보 탈취, 임의 파일 업로드 등 공격으로 이어지는 취약점 (Injection, File Inclusion, CSRF 등)
  
  

보상에서 제외하는 경우

• 이미 제보된 취약점
• 취약점 재현이 불가능한 경우
• 취약점 개념 증명 코드를 포함하지 않은 경우
• 사용자 개입을 과도하게 요구하여 악용 가능성이 낮은 취약점
• 발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점
• CISSP 협회 임직원 및 관계자가 제출한 티켓

보상에서 제외되는 티켓 예시

• 벨리데이션 누락으로 발생하는 단순 에러 제보
• 비전파성(다른 사용자에게 영향을 줄 수 없는) Denial of Service
• 위협 가능성만을 제시하는 정책 설정 (e.g. 패스워드 복잡도 미비 등)
• Misconfigured DMARC Record
• Missing Rate Limit