버그 바운티 프로그램

FlowHunt 는 모든 사용자의 서비스 안전을 최우선으로 생각하며, 데이터 보안이 매우 중요하다고 여깁니다. 만약 여러분이 보안 연구원이자 서비스에서 보안 취약점을 발견하신 경우, 저희에게 비공개로 신고해 주시고, 기술적인 세부 사항을 공개하기 전에 수정할 기회를 주신다면 매우 감사하겠습니다.

FlowHunt는 아래와 같이 취약점이 신고될 경우 보안 연구원과 적극적으로 소통할 것입니다. 신고된 취약점을 검증하고, 답변하며, 보안과 개인정보 보호를 위한 약속에 따라 취약점을 신속히 수정합니다. 책임감 있게 보안 취약점을 발견하고 신고하는 분들의 서비스 이용을 중단하거나 법적 조치를 취하지 않습니다. 단, 정책을 위반할 경우 법적 권리는 모두 유보합니다.

참여 자격

버그 바운티 프로그램에 참여하려면 다음 조건을 충족해야 합니다:

• 만 18세 이상이어야 합니다
• 현재 또는 과거 FlowHunt 직원, 계약자, 직계 가족이 아니어야 합니다
• 미국 제재 대상이 아니며, 미국 금수 국가에 거주하지 않아야 합니다
• 모든 적용 가능한 법과 규정을 준수해야 합니다
• 책임 있는 공개 원칙을 따라야 합니다

신고 방법

발견하신 취약점에 대한 모든 세부 정보를 support@flowhunt.io 로 FlowHunt 보안팀에 공유해 주세요. 명시적 허락 없이 이 과정을 벗어난 공개는 삼가주시기 바랍니다.

신고 품질 요구사항

취약점 신고에는 다음 정보가 포함되어야 합니다:

• 요약: 취약점에 대한 간단한 설명
• 영향: 잠재적 보안 영향 및 비즈니스 위험
• 재현 단계: 상세하고 단계별 재현 방법
• 실증 자료: 취약점을 입증할 수 있는 증거
• 영향받는 자산: 해당 URL, 파라미터, 컴포넌트 등 구체적 정보
• 심각도 평가: 신고자의 심각도 평가
• 완화 방안 제안: 권장 수정 방안 (선택 사항)

여러 건의 취약점을 한 번에 제출하고자 할 경우, 한 건(가능하다면 가장 중요한 것)을 우선 제출하고 회신을 기다려 주시기 바랍니다.

응답 일정

• 접수 확인: 신고 접수 후 영업일 기준 5일 이내
• 초기 평가: 영업일 기준 10일 이내
• 해결 목표: 유효한 취약점에 대해 90일 이내
• 진행 상황: 처리 프로세스 중 정기적으로 상태 업데이트

보상

FlowHunt는 고객 보호에 도움이 되는 취약점 정보를 제공한 보안 연구원 분들께 감사의 의미로 바운티를 지급합니다.

심각도 분류

치명적 심각도 ($100):

• 원격 코드 실행
• 데이터 접근이 가능한 SQL 인젝션
• 다수 사용자에 영향을 미치는 인증 우회
• 관리자 권한 상승
• 완전한 계정 탈취

중간 심각도 ($50):

• 영향이 큰 크로스사이트 스크립팅(XSS)
• 제한된 데이터에 대한 접근제어 우회
• 파일 접근이 가능한 디렉터리 트래버설
• 세션 관리 취약점
• 단일 사용자 대상 인증 오류

낮은 심각도 (보상 대상 아님):

• 경미한 정보 노출
• 현실적인 공격 벡터가 없는 Self-XSS
• 요청 제한 관련 문제
• 악용 가능한 영향이 없는 보안 헤더 누락

지급 조건

• 바운티는 오직 PayPal로만 지급됩니다
• 버그 바운티 헌터는 PayPal 인보이스를 생성해 전송해야 합니다
• 다른 지급 방식은 지원하지 않습니다
• 인보이스 수령 후 30일 이내에 지급 처리
• 모든 지급은 관련 세법을 따릅니다

동일 취약점에 대해서는 최초 신고자에게만 보상이 지급되며, 중복 신고는 보상 대상이 아닙니다.

범위

허용 범위

테스트는 본인이 계정 소유자이거나 계정 소유자가 명시적으로 허가한 계정에 한해 진행해야 합니다. 예시: yourdomain.flowhunt.io

허용 자산:

• *.flowhunt.io 도메인 및 서브도메인
• FlowHunt 웹 애플리케이션 및 API
• FlowHunt 모바일 애플리케이션(해당 시)

허용 취약점 유형:

• 원격 명령 실행(RCE)
• SQL 인젝션
• 인증 우회
• 세션 관리 취약점
• 접근 통제 우회
• 크로스사이트 스크립팅(XSS)
• 오픈 URL 리디렉션
• 디렉터리 트래버설
• 서버사이드 요청 위조(SSRF)
• 비즈니스 로직 결함

제외 범위

금지 활동:

• 사회공학 공격(피싱, 보이스 피싱 등)
• FlowHunt 시설에 대한 물리적 공격 또는 접근
• 서비스 거부(DoS) 또는 분산 서비스 거부(DDoS) 공격
• 스팸, 대량 발송, 자동화 도구를 사용한 시스템 공격
• 네트워크 수준 공격 또는 인프라 스캐닝
• 사용자 기기에 대한 물리적 접근이 필요한 공격
• 무차별 대입 공격, 비밀번호 크래킹
• 본인 소유 또는 명시적 허가 없는 계정 테스트

보상 불가 항목:

• 공격자가 자신의 계정만 위협할 수 있는 상황
• 관리자 또는 권한 사용자가 유발한 XSS
• 가능성이 낮은 사용자 상호작용이 필요한 취약점
• 악성 소프트웨어 설치가 필요한 문제
• 명확한 악용 경로가 없는 이론적 취약점
• 보안 영향이 없는 콘텐츠 위/변조
• 명확한 영향이 없는 요청 제한 미적용
• 구식 브라우저 또는 플랫폼에만 영향이 있는 문제

프로그램 규칙

테스트 가이드라인

• 본인 소유이거나 명시적 허가가 있는 계정에서만 테스트하세요
• 타 사용자 데이터에 접근, 수정, 삭제하지 마세요
• 서비스 중단이나 성능 저하를 유발하지 마세요
• 자동화 테스트는 서비스 중단을 방지할 정도로 제한하세요
• 취약점이 수정되기 전에는 공개적으로 공개하지 마세요
• 개인정보 침해 및 데이터 파괴를 피하기 위해 최선의 노력을 다하세요

세이프 하버 및 법적 보호

FlowHunt의 약속:

• 본 정책을 준수하는 연구원에게 법적 조치를 취하지 않습니다
• 연구원이 보안 이슈를 이해하고 검증할 수 있도록 소통합니다
• 보안에 실질적으로 기여한 경우 이를 인정합니다
• 연구원 동의 없이 신원을 공개하지 않으며, 비밀을 보장합니다

연구원이 따라야 할 사항:

• 모든 관련 법과 규정을 준수해야 합니다
• 취약점 입증에 필요한 데이터만 접근하세요
• 취약점은 빠르고 선의로 신고해야 합니다
• 입증에 필요한 범위를 넘어 취약점을 악용하지 마세요

공개 일정

• 즉시: support@flowhunt.io 로 신고 접수
• 90일: 최초 신고 후 90일 표준 공개 일정
• 조율: 상호 합의 하에 공개
• 긴급: 치명적 취약점은 일정이 앞당겨질 수 있음

연구원은 최초 신고 90일 후 또는 FlowHunt가 문제 해결을 확인한 이후 중 먼저 도래하는 시점에 취약점을 공개할 수 있습니다. 저희는 책임 있는 공개를 권장하며, 적절한 시점에 연구원과 협의하겠습니다.