보안 취약점 신고 포상제
XE 신규 보안 취약점 신고 포상제
XpressEngine(XE)은 자유소프트웨어로서 많은 이들의 참여를 통해 개발되고 있습니다.
XE에서 발견되는 문제의 유형은 의도된 동작을 하지 않는 버그 또는 개선사항에 집중되어 있습니다. 이 외에도 중요한 요소 중 하나가 ‘미처 발견하지 못한 취약점’으로 인해 발생하는 보안상의 문제입니다.
모든 보안 취약점을 발견하는 것은 어려움이 있으며 그 해결과정에도 많은 노력이 필요합니다. XE를 안전한 소프트웨어로 만들기 위해 여러분의 참여가 필요하며, 이를 독려하기 위해 취약점 신고 포상제를 시행하고 있습니다. (시행일: 2016년 9월 1일)
보안 취약점 제보자
| 제보자 | 내역 | |
|---|---|---|
| 최영근 | xvezda.blog.me |
|
접수 대상 취약점
이 프로그램은 다음에 해당하는 항목에 대해서만 적용됩니다.
- 발견 당시 최종 배포된 버전(최신 버전)의 XE Core에서 발견한 신규 취약점
- XSS 등으로 관리자의 권한을 가로채는 등 악용하는 방식이 아니라면, 관리자 권한으로 제공되는 기능에서의 문제는 제외
취약점의 종류
- XSS(Cross-site scripting)
- CSRF/XSRF(Cross-site request forgery)
- XXE(XML eXternal Entity)
- Injection
- 인증 및 세션 관리 취약점
- 민감한 데이터의 노출
- 권한이 없는 데이터 및 기능에 접근
- 알려진 취약점이 있는 컴포넌트/라이브러리 사용
- 검증되지 않은 Redirect 및 Forward
- 기타
평가 기준
- 영향받는 시스템의 보급 및 영향 범위(출현도)
- 해당 취약점을 이용한 공격이 성공하였을 때 시스템에 미치는 영향(영향도)
- 해당 취약점을 이용한 공격이 성공하기 위한 조건 등(공격의 효과성)
- 취약점을 발굴하는데 필요한 기술적 난이도 및 제출한 신고 문서의 완성도(발굴 수준)
- 취약점을 효과적으로 해결할 수 있는 방법 제공(해결 방법의 제시)
취약점 신고 방법 및 포상
- 신고 접수기간 : 상시 접수
- 신고 방법 : 신고 양식을 작성하여 [email protected]으로 제출
- 포상 방법 : 분기별(연 4회)로 검증된 신규 취약점에 대하여 포상
- 타기관을 통해 접수되었거나 중복 접수된 취약점은 이 포상제에서 제외됩니다
신고 양식 다운로드
아래 양식을 작성하여 PDF 문서로 변환하여 제출해주시기 바랍니다.
신고 제출을 함으로써 "취약점 정보 활용 및 비밀유지" 및 "개인정보 수집 및 이용 동의" 등 문서 상의 동의 조건에 동의하는 것으로 합니다.