[번역] 버그바운티 헌터 방법론 - 2. 범위의 중요성

• 이 글은 버그바운티 플랫폼을 운영 중인 미국의 Bugcrowd 라는 회사에서 Senior Community Manager로 근무하고 있는 Sam Houston 이라는 사람이 Bugcrowd 공식블로그에 게시한 글을 번역한 것입니다.

• 일치하지 않는 사항이나 오류가 있는 경우에는 영문 원본 을 참고하십시오. 원본은 여기에서 확인 가능합니다.

• 버그바운티에 관심이 있으신 분은 페이스북 그룹 "Outside Hackers - 한국 버그바운티 헌터 모임"에 참여하세요.

이 글은 "버그바운티 헌터 방법론" 시리즈의 두 번째 글입니다. 오늘 우리는 바운티의 범위, 공개 약관 및 규칙, 해킹할 때 가이드 등을 살펴보겠습니다. 의견이 있으시면 @Bugcrowd에 트윗하십시오 . 

각 버그바운티에는 "범위(Scope)"라는 바운티 프로그램에 관한 세부 정보 섹션이 있습니다. 이 섹션에서는 프로그램에서 받아보려는 취약점의 유형, 연구원에게 허용되는 테스트 유형이 나와있습니다 . Bugcrowd 웹사이트에서는 Program 메뉴의 "프로그램 세부정보(Program Details)"라는 바운티 요약정보 섹션에서 버그바운티의 범위를 찾아볼 수 있습니다. 버그바운티 프로그램의 범위와 규칙을 이해하는 것은 매우 중요합니다. 이에 따라 버그바운티 프로그램의 보상을 받을 자격이 있는지 없는지가 결정되기 때문입니다.

공개 약관 및 규칙 (Disclosure Terms & Rules)

버그바운티의 공개 약관은 당신이 버그바운티에서 해킹을 할 때 동의해야 하는 약관입니다. Bugcrowd는 많은 버그바운티 프로그램에서 활용하는 표준 공개 약관을 만들었지만 일부 고객사는 그들의 버그바운티 프로그램에 특화된 규칙이 포함된 것으로 대체하고 있습니다.

이 약관은 버그를 보고하는 방법과 버그바운티 프로그램의 공개 정책에 대해 간략하게 나와 있습니다. 프로그램의 공개 약관은 반드시 정확히 이해하고 있어야 합니다. 적절치 못하게 공개(예 : 허락없이 버그를 공개하는 경우)를 하게 되면 당신과 고객사 모두에게 좋지 않은 문제가 발생할 수 있습니다.

대상 (Targets)

버그바운티 프로그램의 대상은 해킹이 허용된 애플리케이션 및 서비스입니다. "bugcrowd.com"과 "*.bugcrowd.com"에는 큰 차이가 있기 때문에 대상 목록에 주의하셔야 합니다. 바운티 개요의 범위 외(Out of Scope) 섹션에 별도로 명시되지 않는 한, 도메인의 서브도메인 섹션에 있는 별표 (*)는 모든 서브도메인이 허용 범위에 포함됨을 나타냅니다.

대상 목록에는 웹, 모바일, IoT, API 등이 모두 포함될 수 있습니다.

범위 외 (Out of Scope)

바운티 개요의 범위 외 섹션에는 바운티에서 제외될 조사 결과와 버그 유형이 나와 있습니다. 많은 범위 외 목록에는 DDoS 공격, 피싱 및 사회 공학을 비롯하여 허용되지 않는 테스트 유형이 포함되어 있습니다. 바운티에서 제공된 범위를 벗어나 조사를 하거나 취약점을 보고하게 되면 Bugcrowd 플랫폼에 대한 보상을 받지 못하거나 좋지 않은 평가를 받을 수 있으니 주위하세요. 만일 어떤 이유로 인해 범위를 벗어나서 테스트를 하고 싶다면 사전에 바운티 프로그램 소유자에게 문의를 해보는 것이 가장 좋습니다. Bugcrowd에서는 support@bugcrowd.com으로 이메일을 보내서 범위 밖의 테스트를 수행할 수 있는 권한을 요청할 수 있습니다.

바운티 개요 및 보상 (The Bounty Brief & Rewards)

이전에 자세하게 설명한 바운티 개요 섹션 외에도 프로그램 세부 정보(Program Details)에는 종종 버그 등급 또는 발견된 취약점 유형에 따른 보상에 대한 정보가 나와 있습니다. 일부 프로그램에는 테스트 방법에 대한 세부적인 정보, 테스트에 필요한 자격 증명 정보 또는 보안연구원에게 유용한 다른 정보들이 포함되기도 합니다.

바운티 프로그램 소유자의 관점에서 바운티 개요 및 범위를 만드는 과정에 대한 더 자세히 알고 싶다면 버그바운티 프로그램 작성 방법: A-Z을 읽어 보십시오.