ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • [NAVER Bugbounty Award 2021] 네이버 버그바운티 어워드 2021 참관 후기
      BugBounty 2022. 2. 17. 11:30

      (네이버 메일을 통하 어워드 안내)



      네이버 버그바운티(https://bugbounty.naver.com/ko/)는 2019년 이전 까지는 KISA를 통해서 취약점을 제보받다가 

      2019년부터 네이버 자체에서 운영하게 되면서 올해로는  2020년 , 2021년 어워드 즉 2번째 어워드를 개최했으며 

      작년에는 수상자를 대상으로 오프라인 , 올해는 코로나로 인해  버그바운티에 참여하게 된 모두를 대상으로 하여

      진행하게 되었다.

       

      [2021년 네이버 버그바운티 명예의 전당 + Special Contributor]  

      https://bugbounty.naver.com/ko/halloffame_2021

       

      12월 말에 가까울 때쯤 reflected xss 관련 취약점을 제보하게 되어

      Special Contributor 마지막을 장식하게 되었는데 ,

      아쉽게도 Special Contributor는 2022년(올해) 부터는 사라진다고 한다. 

       

       이유는 기본적으로 취약점 점검 을 위해서 시도하는 것도 정보통신망법 때문에 위법이다.

      버그바운티라는 협의로 인해 위법으로 부터 벗어나게 되지만 ,  도메인 범위에 벗어나는 경우 사실 상 
      기업에 문제 삼으면 문제가 생길 수 있는 부분이고 , 또 원치 않는 취약점 점검으로 사이트에 영향이 갈 수 있다.

      같은 맥락으로 도메인에서 벗어난 취약점을 보고받으면 네이버에서는 취약점 보상은 주어지지 않지만 Special Contributor 에 등재를 해주었지만 , 이러한 매커니즘이 도메인 이외의 취약점도 보고 받는 걸 용인하게 되는 것 같아서 고민 끝에 내린 결정이라고 한다. 

       

      취약점 제보자 입장에서는 보상을 위해서 , 취약점의 위험성을 알기 위해 걱정되서 , 인정받고 싶어서 등의 이유로

      제보를 하고 피드백을 원하지만 법적으로 문제가 될 수 있는 부분이기 때문에 기본적으로 취약점 점검이라는 명목하에 취약점을 발굴하려는 행위 , 버그바운티라도 도메인에서 벗어난 경우는 발굴 시도 자체를 하지 않는 것이 바람직하며 
      혹여나 의도치 않게 발견했더라도 보고하지 않는 편이 현명할 수 도 있다.  



      의도치 않게  Special Contributor로서 제일 마지막에 보고 한 사람이 되었다. 

       

       

      파란색이 작년에 제보한 취약점 , 빨간색이 올해 제보한 취약점으로 현재 검증 상태에 있는 중이며 
      빨간색으로 표시된 두가지 취약점은 , 이번에는 도메인에 해당하는 취약점을 제보했기에 버그바운티를 받지 않을까 내심 기대하고 있다 ㅎㅎ 


      다음으로 어워드에서 설명한 주요 내용을 간단하게 적어보고자 한다.

      먼저 연도별 제보건수와 참여자 인원이다 ( 유효 취약점이 아닌 단순 제보 건수와 참여자)

      년도 제보건수 참여자
      2020년 701건 제보 154
      2021년 579건 제보 166

      *2021년 경우  XSS가 100건 정도 제보되었다고 한다.

       

       

      버그 바운티 보상의 경우 , 네이버 버그바운티 홈페이지에도 나와있지만

      으로 2020 => 2021년으로 가면서 버그바운티 보상 금액을 올렸고 올해도 계속해서 좋은 취약점에 대해서는 보상이 적절히 이루어지도록 노력하고 있다고 한다. 

       

      버그바운티 포상 금액 + 제보 개수등을 지표로  이번 어워드에서는 

      1위 맥북프로13(m1)+상패
      2위 맥북에어(m1) + 상패
      3위 맥미니(m1) + 상패

      가 추가로 수여 되었다!


      1,2,3위를 하신 분들은 xss를 가장 많이 제보 , 회원서비스 관련 + SSRF , 비공개?지만 가장 큰 리워드를 받았던 취약점등 을 보고하셨다고 한다. 

       

       

      Q&A 에서는 

      1.취약점 조치가 끝난 취약점의 공개 여부 => 아직 계획 X

      2.어떤 유형의 XSS가 가장 많이 제보되었는지 => 2021년 총 140?건 중  (reflected 80건 , stored 70건?) , 합산이 조금 이상하지만 대략  reflected 와 stored가 거의 비슷한 비율로 보고 되었다는 것을 알 수 있었다.
      3. 도메인 선정 기준  => 개발 부서와의 협의가 이루어져야 함 

      이외에도 여러 질문과 답변을 주고받았었다.

       

      이외에도 KISA에도 제보한 취약점이 있는데 ,  금액에 상관없이 버그바운티 보상을 받는 것이 목적이라서  기대중에 있다 ㅎㅎ 

       

      BOB에서 진행한 프로젝트를 진행하게 되면서 버그바운티에 대해서 접하게 되었는 데 , 성과가 있어서 뿌듯하고 

      좋은 경험이었던 것 같다.

       

      올해는 유효한 취약점을 많이 찾아 제보해서 랭킹 안에 들면 좋을 것 같다 : )

      네이버도 지속적으로 버그바운티에 관심을 들이고 , 피드백도 적극적으로 받아들이고 있으니
      버그바운티를 생각중이라면 네이버 버그바운티에 참여해보는 것도 좋은 것 같다 : ) 

      댓글

    Total : Today : Yesterday :

    Designed by Tistory.

    티스토리툴바