마인리스트

소개
마인리스트는 마인크래프트 서버의 실시간 서버 상태를 모니터링 해주고, 추천수를 바탕으로 순위를 매겨주는 서비스입니다.

보안 사고를 미연에 방지하기 위해 본 프로그램을 운영하고 있습니다.

참여 규칙

• 영업 등, 보안 문제와 관계 없는 내용의 스팸 티켓을 제보하지 않습니다.
• 과한 트래픽을 생성하는 테스트, DDOS 공격은 하지 않습니다.
• 자동화된 취약점 스캔은 엄격히 금지합니다.
• 다른 사용자에게 피해를 끼칠 수 있는 행위는 삼가주시길 바랍니다.
• 물리적인 접근이 필요하거나 사회공학적 공격 시도는 금지합니다.
• 실서비스 대상이므로 서비스 가용성 및 무결성에 영향을 주는 행위를 삼가합니다.
• 중복된 티켓이 제보 될 경우 첫 번째로 제출된 티켓만 유효한 티켓으로 인정됩니다.

평가 기준
아래 내용과 함께, 티켓 내용을 종합적으로 검토하여 평가합니다.

• 공격에 성공하기 위한 권한 필요도 (e.g 로그인 없이 가능, 일반 계정 필요, 관리자 계정 필요)
• 취약점의 기술적 영향도 (e.g 공격 벡터, 공격 복잡도 등)
• 공격 성공 시 비즈니스 영향도 (e.g 정보유출, 게시물 삭제 및 변조, 비인가 페이지 접근 등)
• 취약점 식별 및 증명 과정의 구체성 (e.g 테스트 과정, 공격 증명 코드 등)

유효하지 않은 티켓 기준

• 이미 제보된 취약점
• 무작위 대입 공격
• 취약점 개념 증명 코드(PoC)를 포함하지 않은 제보
• 취약점 재현이 불가능한 경우
• 공격자에게 악용될 소지가 현격히 낮은 취약점
• 위협 가능성만을 제시하는 제보(e.g. 패스워드 복잡도 미흡, 서버 정보 노출 등)
• 과한 사용자 개입을 요구하여 악용 가능성이 낮은 취약점
• 사용자 디바이스에 대한 MITM 공격 또는 물리적 엑세스가 필요한 공격
• 보안에 영향을 주지 않는 UI/UX 문제
• 임직원 및 관계자가 제출한 티켓
• captcha solver 등을 이용하여 추천수를 조작하는 방법 등.
• Missing Rate Limit
• 마인리스트 서비스가 아닌 타 서비스에 대한 취약점

공개 정책

• 모든 티켓은 티켓 상태가 종료(resolved)되면 핵티비티에 공개하는 것을 원칙으로 합니다.

정책 업데이트 기록

• [2023-08-10] 정책을 전체적으로 수정하였습니다.
• [2023-11-29] 타 서비스, 자동화된 취약점 스캔에 대한 규정 추가