CodeEngn 대표 홈페이지

소개

코드엔진은 국내 리버스엔지니어링 정보공유를 위해 2007년부터 리버스엔지니어링 컨퍼런스 및 세미나, 워크숍을 현업 실무자들과 함께 운영하고 있습니다. 리버스엔지니어링이라는 하나의 큰 주제로 소프트웨어 보안에 대한 다양한 시각과 연구주제에 대한 정보공유를 추구하고 있습니다.

코드엔진 홈페이지에서는 지난 컨퍼런스 정보들과 리버스엔지니어링 관련 다양한 챌린지 문제를 제공하고 있습니다.

회원정보 유출, 악성 파일 배포와 같은 보안 사고를 미연에 방지하여 홈페이지 이용자분들께 안전한 이용 환경을 제공하기 위해 본 프로그램을 게시하였습니다.

참여 규칙

• 영업 등, 보안 문제와 관계 없는 내용의 스팸 티켓을 제보하지 않습니다.
• 프로그램 매니저와 협의 없이 티켓 내용을 외부에 공개하지 않습니다.
• 운영중인 서비스이므로 서비스 가용성에 영향을 주는 행위는 삼가하여 주시기 바랍니다.

평가 기준

아래 내용과 함께, 티켓 내용을 종합적으로 검토하여 보상 금액을 책정합니다.

• 공격에 성공하기 위한 권한 필요도 (e.g 로그인 없이 가능, 일반 계정 필요, 관리자 계정 필요)
• 취약점의 기술적 영향도 (e.g 공격 벡터, 공격 복잡도 등)
• 공격 성공 시 비즈니스 영향도 (e.g 정보유출, 게시물 삭제 및 변조, 비인가 페이지 접근 등)
• 취약점 식별 및 증명 과정의 구체성 (e.g 테스트 과정, 공격 증명 코드 등)

보상 가능한 경우

아래 내용에 해당하는 티켓에는 크레딧으로 보상합니다.

• 열람 권한이 없는 콘텐츠 접근 및 생성
• 원격 코드 실행 (RCE)
• 클라이언트 측 코드 실행 (XSS)
• 정보 탈취, 임의 파일 업로드 등 공격으로 이어지는 취약점 (Injection, File Inclusion, CSRF 등)

보상에서 제외되는 경우

• 이미 제보된 취약점
• 취약점 재현이 불가능한 경우
• 취약점 개념 증명 코드를 포함하지 않은 경우
• 사용자 개입을 과도하게 요구하여 악용 가능성이 낮은 취약점
• 발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점
• 코드엔진 임직원 및 관계자가 제출한 티켓

보상에서 제외되는 티켓 예시

• 벨리데이션 누락으로 발생하는 단순 에러 제보
• 비전파성(다른 사용자에게 영향을 줄 수 없는) Denial of Service
• 위협 가능성만을 제시하는 정책 설정 (e.g. 패스워드 복잡도 미비 등)
• Misconfigured DMARC Record
• Missing Rate Limit