보안 포상 프로그램

완벽한 기술은 없습니다. Cryptohopper는 항상 트레이더가 데이터와 거래 체결에 대해 걱정할 필요 없이 포트폴리오를 관리할 수 있도록 하고자 합니다. 사용자의 보안에 잠재적으로 영향을 미칠 수 있는 사항을 발견하면 도움을 주시면 감사드리며 실행 가능한 정보에 대해 포상합니다.

범위 내

트위터 시스템의 취약점을 얼마든지 제출할 수 있습니다. 하지만 모든 취약점이 동일한 것은 아닙니다. 다음 범주에 속하는 취약점을 발견한 경우 가능한 한 빨리 당사에 연락해 주세요.

이 프로그램에 따라 보상을 받을 수 있는 도메인과 앱은 다음과 같습니다.

SQL 인젝션 취약점
암호화 취약점
원격 코드 실행
인증 우회, 무단 데이터 액세스
XML 외부 엔티티
S3 버킷 업로드
서버 측 요청 위조

이 프로그램에 따라 보상을 받을 수 있는 도메인과 앱은 다음과 같습니다:

www.cryptohopper.com
api.cryptohopper.com
애플 스토어 iOS 애플리케이션: cryptohopper-암호화폐 거래/id1463052050
구글 플레이스토어의 안드로이드 애플리케이션: com.cryptohopper_mobile

범위를 벗어남

다음 카테고리의 제출은 허용되지 않습니다:

제한 없이 사용자 계정을 생성할 수 있는 기능
식별된 보안 위험 없이 사용자 인터페이스를 통해 사용할 수 없는 작업을 수행할 수 있는 기능
콘텐츠에 대한 통제 없이 무제한으로 이메일을 보낼 수 있는 기능
서비스(DoS) 중단으로 이어질 수 있는 모든 활동
MiTM 또는 사용자 디바이스에 대한 물리적 액세스가 필요한 공격
클릭재킹
콘텐츠 스푸핑 및 텍스트 삽입
취약점을 입증하지 않는 CSV 주입
제품 버전, 서버의 파일 경로, 스택 추적 등과 같은 민감하지 않은 정보 공개
출처 및 개인 IP 주소 또는 개인 IP 주소를 가리키는 도메인 공개
보안 연결(HTTPS)에서 신뢰할 수 있는 제3자에게 민감한 토큰(예: 비밀번호 재설정 토큰)이 유출되는 경우
SSL/TLS 구성에 누락된 모범 사례
DNS 구성에 누락된 모범 사례(DKIM/DMARC/SPF/TXT)
취약점을 입증하지 않고 HTTP 헤더에 모범 사례 누락
중요한 작업에 대한 알림 누락
사용자 또는 시스템에 대한 실제 보안 영향이 입증되지 않은 보호 메커니즘 또는 모범 사례 누락
작동하는 개념 증명이 없는 이전에 알려진 취약한 라이브러리
작동하는 개념 증명 없이 크래시 덤프 또는 자동화된 도구 출력만 포함된 보고서
미인증/로그인/로그아웃 CSRF
사용자 나열
패치되지 않은 환경이 필요한 벡터(예: 누락된 Windows 업데이트)
보고서 제출 6개월 이상 전에 출시된 브라우저 버전이 필요한 벡터
엔드포인트에서 누락된 비율 제한
사이트 간 요청 위조(CSRF)

취약점 제출 방법

이메일( [email protected])로 취약점을 제출할 수 있습니다.

이메일에 어떤 취약점을 발견했는지 간결하게 기재하세요. 특히 다음 사항을 이메일에 포함하세요:

어떤 취약점
수행한 단계
전체 URL
관련된 개체(필터 또는 입력 필드)
스크린샷과 화면 동영상은 매우 유용합니다.
버그 보고서에 IP 주소를 입력하면 비공개로 유지되며 테스트 활동을 추적하고 당사 측에서 로그를 검토하는 데 사용됩니다.
발견한 문제를 가능한 한 명확하고 자세히 설명하고 증거가 있는 경우에 제공하세요. 전문가가 그 알림을 받을 것이라고 생각하시면 됩니다.

규칙

책임감을 갖고 극도의 주의와 주의를 기울여 행동하세요. 문제를 조사할 때는 취약점을 찾거나 입증하는 데 필요한 방법이나 기술만 사용하세요.

윤리적 해커가 되어 다른 사용자의 개인 정보를 존중하세요.
발견한 취약점을 자체 조사 이외의 목적으로 사용하지 마세요.
다른 당사자에게 취약점을 공개하지 말고 Cryptohopper가 대중이나 제삼자에게 공개하기 전에 문제를 해결할 수 있는 합리적인 시간을 제공해야 합니다.
시스템에 액세스하기 위해 소셜 엔지니어링을 사용하지 마세요.
시스템의 취약성을 보여주기 위해서라도 백도어를 설치하지 마세요. 백도어는 시스템 보안을 손상시킬 수 있습니다.
시스템 내 정보를 변경하거나 삭제하지 마세요. 조사를 위해 정보를 복사해야 하는 경우, 필요 이상으로 복사하지 마세요. 하나의 기록으로 충분하다면 더 이상 복사하지 마세요.
어떤 방식으로든 시스템을 변경하지 마세요.
꼭 필요한 경우에만 시스템에 침투하세요. 시스템에 침투하는 데 성공했다면 다른 사람과 액세스 권한을 공유하지 마세요.
시스템에 액세스하기 위해 비밀번호를 반복적으로 입력하는 등의 무차별 암호 대입 기법을 사용하지 마세요.
자체 시스템을 최대한 엄격하게 보호하세요.

보상

트위터는 포상금 제도의 유연성을 유지하기 위해 최소/최대 금액에 제한을 두지 않고 신고의 심각성, 영향력, 신고 품질에 따라 포상금을 지급합니다. 보상을 받으려면 제재 목록에 없는 국가(예: 쿠바, 이란, 북한, 수단 및 시리아)에 거주해야 합니다. 본 프로그램은 재량 프로그램이며 Cryptohopper는 프로그램을 취소할 권리를 보유하며, 보상금 지급 여부는 당사의 재량에 따라 결정됩니다.

추가 고려 사항:

중복된 신고가 발생하면 가장 먼저 접수된 신고에 대해서만 포상합니다.
하나의 근본적인 문제로 인해 발생하는 여러 취약점에는 하나의 포상금이 지급됩니다.
트위터 엔지니어가 신고한 보안 결함을 재현할 수 있어야 합니다. 너무 모호하거나 불분명한 신고는 포상금을 받을 수 없습니다. 명확하게 작성된 설명과 작업 코드가 포함된 신고는 보상을 받을 가능성이 높습니다.

자주 묻는 질문

Cryptohopper의 시스템과 프로세스를 보호하는 데 도움을 주신 여러분의 노력에 깊은 감사를 드립니다. 영향력에 따라 보상이 결정됩니다. 보상은 항상 금전적 보상은 아니지만 Cryptohopper 구독의 형태로 제공될 수도 있습니다.

트위터에 먼저 문의하지 않고 트위터 IT 시스템의 취약점이나 조사 내용을 공개하지 마세요. 범죄자가 귀하의 정보를 악용하는 것을 방지하기 위해 함께 노력할 수 있습니다. 보안 전문가와 상의하여 문제를 해결할 수 있도록 시간을 주세요.

예, 가능합니다. 취약점을 신고할 때 이름과 연락처를 알려주실 필요는 없습니다. 그러나 신고에 대한 조치, 추가 협력, 보상금 지급 등 후속 조치에 대해서는 상담해 드릴 수 없다는 점을 양해해 주시기 바랍니다.

보안 바운티 프로그램 문서에 제공된 PGP 키를 사용하여 보안 문제를 [email protected] 으로 보내주세요.