보안 포상 프로그램

완벽한 기술은 없습니다. Cryptohopper는 항상 트레이더가 데이터와 거래 체결에 대해 걱정할 필요 없이 포트폴리오를 관리할 수 있도록 하고자 합니다. 사용자의 보안에 잠재적으로 영향을 미칠 수 있는 사항을 발견하면 도움을 주시면 감사드리며 실행 가능한 정보에 대해 포상합니다.

범위 내

트위터 시스템의 취약점을 얼마든지 제출할 수 있습니다. 하지만 모든 취약점이 동일한 것은 아닙니다. 다음 범주에 속하는 취약점을 발견한 경우 가능한 한 빨리 당사에 연락해 주세요.


이 프로그램에 따라 보상을 받을 수 있는 도메인과 앱은 다음과 같습니다.

  • SQL 인젝션 취약점
  • 암호화 취약점
  • 원격 코드 실행
  • 인증 우회, 무단 데이터 액세스
  • XML 외부 엔티티
  • S3 버킷 업로드
  • 서버 측 요청 위조

이 프로그램에 따라 보상을 받을 수 있는 도메인과 앱은 다음과 같습니다:

  • www.cryptohopper.com
  • api.cryptohopper.com
  • 애플 스토어 iOS 애플리케이션: cryptohopper-암호화폐 거래/id1463052050
  • 구글 플레이스토어의 안드로이드 애플리케이션: com.cryptohopper_mobile

범위를 벗어남

다음 카테고리의 제출은 허용되지 않습니다:

  • 제한 없이 사용자 계정을 생성할 수 있는 기능
  • 식별된 보안 위험 없이 사용자 인터페이스를 통해 사용할 수 없는 작업을 수행할 수 있는 기능
  • 콘텐츠에 대한 통제 없이 무제한으로 이메일을 보낼 수 있는 기능
  • 서비스(DoS) 중단으로 이어질 수 있는 모든 활동
  • MiTM 또는 사용자 디바이스에 대한 물리적 액세스가 필요한 공격
  • 클릭재킹
  • 콘텐츠 스푸핑 및 텍스트 삽입
  • 취약점을 입증하지 않는 CSV 주입
  • 제품 버전, 서버의 파일 경로, 스택 추적 등과 같은 민감하지 않은 정보 공개
  • 출처 및 개인 IP 주소 또는 개인 IP 주소를 가리키는 도메인 공개
  • 보안 연결(HTTPS)에서 신뢰할 수 있는 제3자에게 민감한 토큰(예: 비밀번호 재설정 토큰)이 유출되는 경우
  • SSL/TLS 구성에 누락된 모범 사례
  • DNS 구성에 누락된 모범 사례(DKIM/DMARC/SPF/TXT)
  • 취약점을 입증하지 않고 HTTP 헤더에 모범 사례 누락
  • 중요한 작업에 대한 알림 누락
  • 사용자 또는 시스템에 대한 실제 보안 영향이 입증되지 않은 보호 메커니즘 또는 모범 사례 누락
  • 작동하는 개념 증명이 없는 이전에 알려진 취약한 라이브러리
  • 작동하는 개념 증명 없이 크래시 덤프 또는 자동화된 도구 출력만 포함된 보고서
  • 미인증/로그인/로그아웃 CSRF
  • 사용자 나열
  • 패치되지 않은 환경이 필요한 벡터(예: 누락된 Windows 업데이트)
  • 보고서 제출 6개월 이상 전에 출시된 브라우저 버전이 필요한 벡터
  • 엔드포인트에서 누락된 비율 제한
  • 사이트 간 요청 위조(CSRF)

취약점 제출 방법

이메일( [email protected])로 취약점을 제출할 수 있습니다.

이메일에 어떤 취약점을 발견했는지 간결하게 기재하세요. 특히 다음 사항을 이메일에 포함하세요:

  • 어떤 취약점
  • 수행한 단계
  • 전체 URL
  • 관련된 개체(필터 또는 입력 필드)
  • 스크린샷과 화면 동영상은 매우 유용합니다.
  • 버그 보고서에 IP 주소를 입력하면 비공개로 유지되며 테스트 활동을 추적하고 당사 측에서 로그를 검토하는 데 사용됩니다.
  • 발견한 문제를 가능한 한 명확하고 자세히 설명하고 증거가 있는 경우에 제공하세요. 전문가가 그 알림을 받을 것이라고 생각하시면 됩니다.

규칙

책임감을 갖고 극도의 주의와 주의를 기울여 행동하세요. 문제를 조사할 때는 취약점을 찾거나 입증하는 데 필요한 방법이나 기술만 사용하세요.

  • 윤리적 해커가 되어 다른 사용자의 개인 정보를 존중하세요.
  • 발견한 취약점을 자체 조사 이외의 목적으로 사용하지 마세요.
  • 다른 당사자에게 취약점을 공개하지 말고 Cryptohopper가 대중이나 제삼자에게 공개하기 전에 문제를 해결할 수 있는 합리적인 시간을 제공해야 합니다.
  • 시스템에 액세스하기 위해 소셜 엔지니어링을 사용하지 마세요.
  • 시스템의 취약성을 보여주기 위해서라도 백도어를 설치하지 마세요. 백도어는 시스템 보안을 손상시킬 수 있습니다.
  • 시스템 내 정보를 변경하거나 삭제하지 마세요. 조사를 위해 정보를 복사해야 하는 경우, 필요 이상으로 복사하지 마세요. 하나의 기록으로 충분하다면 더 이상 복사하지 마세요.
  • 어떤 방식으로든 시스템을 변경하지 마세요.
  • 꼭 필요한 경우에만 시스템에 침투하세요. 시스템에 침투하는 데 성공했다면 다른 사람과 액세스 권한을 공유하지 마세요.
  • 시스템에 액세스하기 위해 비밀번호를 반복적으로 입력하는 등의 무차별 암호 대입 기법을 사용하지 마세요.
  • 자체 시스템을 최대한 엄격하게 보호하세요.

보상

트위터는 포상금 제도의 유연성을 유지하기 위해 최소/최대 금액에 제한을 두지 않고 신고의 심각성, 영향력, 신고 품질에 따라 포상금을 지급합니다. 보상을 받으려면 제재 목록에 없는 국가(예: 쿠바, 이란, 북한, 수단 및 시리아)에 거주해야 합니다. 본 프로그램은 재량 프로그램이며 Cryptohopper는 프로그램을 취소할 권리를 보유하며, 보상금 지급 여부는 당사의 재량에 따라 결정됩니다.

추가 고려 사항:

  • 중복된 신고가 발생하면 가장 먼저 접수된 신고에 대해서만 포상합니다.
  • 하나의 근본적인 문제로 인해 발생하는 여러 취약점에는 하나의 포상금이 지급됩니다.
  • 트위터 엔지니어가 신고한 보안 결함을 재현할 수 있어야 합니다. 너무 모호하거나 불분명한 신고는 포상금을 받을 수 없습니다. 명확하게 작성된 설명과 작업 코드가 포함된 신고는 보상을 받을 가능성이 높습니다.
자주 묻는 질문
자주 묻는 질문
Cryptohopper의 시스템과 프로세스를 보호하는 데 도움을 주신 여러분의 노력에 깊은 감사를 드립니다. 영향력에 따라 보상이 결정됩니다. 보상은 항상 금전적 보상은 아니지만 Cryptohopper 구독의 형태로 제공될 수도 있습니다.
트위터에 먼저 문의하지 않고 트위터 IT 시스템의 취약점이나 조사 내용을 공개하지 마세요. 범죄자가 귀하의 정보를 악용하는 것을 방지하기 위해 함께 노력할 수 있습니다. 보안 전문가와 상의하여 문제를 해결할 수 있도록 시간을 주세요.
예, 가능합니다. 취약점을 신고할 때 이름과 연락처를 알려주실 필요는 없습니다. 그러나 신고에 대한 조치, 추가 협력, 보상금 지급 등 후속 조치에 대해서는 상담해 드릴 수 없다는 점을 양해해 주시기 바랍니다.
보안 바운티 프로그램 문서에 제공된 PGP 키를 사용하여 보안 문제를 [email protected] 으로 보내주세요.

면책 조항: Cryptohopper는 규제 기관이 아닙니다. 암호화폐 봇 거래에는 상당한 위험이 수반되며 과거 실적이 미래 결과를 보장하지 않습니다. 제품 스크린샷에 표시된 수익은 설명용이며 과장된 것일 수 있습니다. 봇 거래는 충분한 지식이 있거나 자격을 갖춘 재무 고문의 조언을 구한 경우에만 참여하세요. Cryptohopper는 어떠한 경우에도 (a) 당사 소프트웨어와 관련된 거래로 인해, 그로 인해 또는 이와 관련하여 발생하는 손실 또는 손해의 전부 또는 일부 또는 (b) 직접, 간접, 특별, 결과적 또는 부수적 손해에 대해 개인 또는 단체에 대한 어떠한 책임도 지지 않습니다. Cryptohopper 소셜 트레이딩 플랫폼에서 제공되는 콘텐츠는 Cryptohopper 커뮤니티 회원이 생성한 것이며 Cryptohopper 또는 그것을 대신한 조언이나 추천으로 구성되지 않는다는 점에 유의하시기 바랍니다. 마켓플레이스에 표시된 수익은 향후 결과를 나타내지 않습니다. Cryptohopper의 서비스를 사용함으로써 귀하는 암호화폐 거래와 관련된 내재적 위험을 인정하고 수락하며 발생하는 모든 책임이나 손실로부터 Cryptohopper를 면책하는 데 동의합니다. 당사의 소프트웨어를 사용하거나 거래 활동에 참여하기 전에 당사의 서비스 약관 및 위험 공개 정책을 검토하고 이해하는 것이 필수적입니다. 특정 상황에 따른 맞춤형 조언은 법률 및 재무 전문가와 상담하시기 바랍니다.

©2017 - 2023 저작권: Cryptohopper™ - 판권 소유.