요약
(ISC)² Korea Chapter(사단법인 한국CISSP협회)의 대표 홈페이지입니다.
프로그램 소개
소개
(ISC)² Korea Chapter(사단법인 한국CISSP협회)의 대표 홈페이지는 국내 CISSP 자격증 소지자의 보수교육(CPE)과 보안 세미나, 협회 내 소통 활동을 장려하기 위한 공간입니다. CISSP(Certified Information Systems Security Professional, 국제공인 정보시스템 보안전문가)은 ISO/IEC Standard 17024의 엄중한 기준에 부합하는 자격증이며, 미국 국가안보국(NSA)의 정보보호프로그램의 기본자격증으로 채택된 바 있습니다.
회원의 개인정보 및 계정유출, 열람 권한이 없는 게시물 접근과 같은 보안 사고를 미연에 방지하여 협회 회원들에게 안전한 소통 환경을 제공하기 위해 본 프로그램을 운영합니다.
참여 규칙
- 영업 등, 보안 문제와 관계 없는 내용의 스팸 티켓을 제보하지 않습니다.
- 프로그램 매니저와 협의 없이 티켓 내용을 외부에 공개하지 않습니다.
- 운영중인 서비스이므로 서비스 가용성에 영향을 주는 행위는 삼가하여 주시기 바랍니다.
평가 기준
아래 내용과 함께, 티켓 내용을 종합적으로 검토하여 보상 금액을 책정합니다.
- 공격에 성공하기 위한 권한 필요도 (e.g 로그인 없이 가능, 일반 계정 필요, 관리자 계정 필요)
- 취약점의 기술적 영향도 (e.g 공격 벡터, 공격 복잡도 등)
- 공격 성공 시 비즈니스 영향도 (e.g 정보유출, 게시물 삭제 및 변조, 비인가 페이지 접근 등)
- 취약점 식별 및 증명 과정의 구체성 (e.g 테스트 과정, 공격 증명 코드 등)
보상 가능한 경우
아래 내용에 해당하는 티켓에는 크레딧으로 보상합니다.
- 인증 우회 및 계정 탈취
- 열람 권한이 없는 콘텐츠 접근 및 생성
- 원격 코드 실행 (RCE)
- 클라이언트 측 코드 실행 (XSS)
- 정보 탈취, 임의 파일 업로드 등 공격으로 이어지는 취약점 (Injection, File Inclusion, CSRF 등)
보상에서 제외하는 경우
- 이미 제보된 취약점
- 취약점 재현이 불가능한 경우
- 취약점 개념 증명 코드를 포함하지 않은 경우
- 사용자 개입을 과도하게 요구하여 악용 가능성이 낮은 취약점
- 발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점
- CISSP 협회 임직원 및 관계자가 제출한 티켓
보상에서 제외되는 티켓 예시
- 벨리데이션 누락으로 발생하는 단순 에러 제보
- 비전파성(다른 사용자에게 영향을 줄 수 없는) Denial of Service
- 위협 가능성만을 제시하는 정책 설정 (e.g. 패스워드 복잡도 미비 등)
- Misconfigured DMARC Record
- Missing Rate Limit
에셋
WEB 이름: website 링크: https://isc2chapter.kr/
보상
매우높음
100,000
높음
80,000
중간
60,000
낮음
50,000
응답성
5 일
첫 응답까지의 평균 시간9 일 5 시간
보상지급까지의 평균 시간11 일
종료까지의 평균 시간프로그램 통계
750,000
총 보상금액35,000
평균 보상금액0
지난 90일간의 총 보상금액0
지난 90일간 제보된 티켓 수