CodeEngn 대표 홈페이지

코드엔진

CodeEngn의 대표 홈페이지입니다.

WEB 바운티 시작일: 2021년 6월 10일

최대 바운티: 500,000

제출된 티켓: 26 마지막 티켓: 2021년 9월 13일

요약

CodeEngn의 대표 홈페이지입니다.

프로그램 소개

소개

코드엔진은 국내 리버스엔지니어링 정보공유를 위해 2007년부터 리버스엔지니어링 컨퍼런스 및 세미나, 워크숍을 현업 실무자들과 함께 운영하고 있습니다. 리버스엔지니어링이라는 하나의 큰 주제로 소프트웨어 보안에 대한 다양한 시각과 연구주제에 대한 정보공유를 추구하고 있습니다.

코드엔진 홈페이지에서는 지난 컨퍼런스 정보들과 리버스엔지니어링 관련 다양한 챌린지 문제를 제공하고 있습니다.

회원정보 유출, 악성 파일 배포와 같은 보안 사고를 미연에 방지하여 홈페이지 이용자분들께 안전한 이용 환경을 제공하기 위해 본 프로그램을 게시하였습니다.


참여 규칙

  • 영업 등, 보안 문제와 관계 없는 내용의 스팸 티켓을 제보하지 않습니다.
  • 프로그램 매니저와 협의 없이 티켓 내용을 외부에 공개하지 않습니다.
  • 운영중인 서비스이므로 서비스 가용성에 영향을 주는 행위는 삼가하여 주시기 바랍니다.

평가 기준

아래 내용과 함께, 티켓 내용을 종합적으로 검토하여 보상 금액을 책정합니다.

  • 공격에 성공하기 위한 권한 필요도 (e.g 로그인 없이 가능, 일반 계정 필요, 관리자 계정 필요)
  • 취약점의 기술적 영향도 (e.g 공격 벡터, 공격 복잡도 등)
  • 공격 성공 시 비즈니스 영향도 (e.g 정보유출, 게시물 삭제 및 변조, 비인가 페이지 접근 등)
  • 취약점 식별 및 증명 과정의 구체성 (e.g 테스트 과정, 공격 증명 코드 등)

보상 가능한 경우

아래 내용에 해당하는 티켓에는 크레딧으로 보상합니다.

  • 열람 권한이 없는 콘텐츠 접근 및 생성
  • 원격 코드 실행 (RCE)
  • 클라이언트 측 코드 실행 (XSS)
  • 정보 탈취, 임의 파일 업로드 등 공격으로 이어지는 취약점 (Injection, File Inclusion, CSRF 등)

보상에서 제외되는 경우

  • 이미 제보된 취약점
  • 취약점 재현이 불가능한 경우
  • 취약점 개념 증명 코드를 포함하지 않은 경우
  • 사용자 개입을 과도하게 요구하여 악용 가능성이 낮은 취약점
  • 발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점
  • 코드엔진 임직원 및 관계자가 제출한 티켓

보상에서 제외되는 티켓 예시

  • 벨리데이션 누락으로 발생하는 단순 에러 제보
  • 비전파성(다른 사용자에게 영향을 줄 수 없는) Denial of Service
  • 위협 가능성만을 제시하는 정책 설정 (e.g. 패스워드 복잡도 미비 등)
  • Misconfigured DMARC Record
  • Missing Rate Limit

에셋

WEB 이름: 대표 홈페이지 링크: https://*.codeengn.com

보상

매우높음

500,000
높음

300,000
중간

200,000
낮음

100,000

응답성

6 일 22 시간

첫 응답까지의 평균 시간

18 일 4 시간

보상지급까지의 평균 시간

9 일 6 시간

종료까지의 평균 시간

프로그램 통계

550,000

총 보상금액

78,000

평균 보상금액

0

지난 90일간의 총 보상금액

0

지난 90일간 제보된 티켓 수