Skip to main content

Windows Insider Preview의 Microsoft Edge 웹 플랫폼 버그 바운티 프로그램 사용 약관

프로그램 설명

WIP(Windows 10 Insider Preview)와 함께 제공되는 Microsoft Edge에 대한 보안 취약성 바운티 프로그램을 시작합니다. 이 프로그램은 2016년 8월 4일에 시작되어 2017년 5월 15일에 끝납니다. 프로그램 기간 동안 전 세계의 개인 사용자는 최신 Windows 10 Insider Preview 저속 링에 포함된 Microsoft Edge에서 발견된 취약성을 제출할 수 있습니다. Windows 10 Insider Preview 업데이트는 다른 링을 통해 테스터에게 제공됩니다. 바운티 프로그램의 경우 Windows Insider Preview 저속 링에서 버그를 제출해야 합니다. 자세한 내용은 https://insider.windows.com/ https://insider.windows.com/Home/GetStarted를 참조하세요.

적격한 제출은 최소 $500 USD부터 최대 $15,000 USD까지 받을 수 있으며, 바운티는 취약성의 품질과 복잡성을 기준으로 Microsoft의 단독 판단에 따라 지급됩니다. 항목의 품질 및 복잡성에 따라 Microsoft에서 $15,000 USD 이상을 지급할 수도 있습니다.

적격한 제출을 구성하는 요소는 무엇인가요?

Microsoft에 제공하는 취약성 제출이 지급을 받으려면 다음 조건을 충족해야 합니다.

  • WIP 저속의 현재 Microsoft Edge에서 이전에 보고되지 않은 원래 취약성 식별
  • 바운티를 받으려면 최근 WIP 저속 빌드에서 취약성이 재현되어야 함
    • 제출된 취약성이 이전 WIP 저속 빌드에서는 재현되지만 제출 당시의 현재 WIP 저속에서 재현되지 않는 경우 제출이 부적격합니다.
  • 쉽게 이해할 수 있는 간결한 재현 단계 포함 (이렇게 하면 제출을 최대한 빨리 처리할 수 있으며, 보고한 취약성 유형에 대한 가장 높은 금액을 지급받을 수 있음)
  • 취약성이 재현되는 WIP 저속 빌드 번호 포함

Microsoft는 단독 판단에 따라 이러한 조건에 맞지 않는 것으로 결정한 제출을 거부할 수 있습니다.

지급 금액은 어떻게 설정되나요?

  • 각기 다른 사람으로부터 동일한 문제에 대한 버그 보고서를 여러 개 받을 경우 바운티는 위에 나열된 조건에 따라 최초 제출에 부여됩니다.
  • 중복된 보고서에서 이전에 Microsoft에 알려지지 않은 새로운 정보를 제공하는 경우 중복 제출에 차등 바운티가 부여됩니다.
  • 내부적으로 알려진 문제에 대해 받은 최초 외부 보고서는 최대 $1,500 USD를 받게 됩니다.

적격한 제출에 대한 지급 범위는 다음에 따라 달라집니다.

취약성 유형작동하는
익스플로잇
개념
증명
보고서 품질지급 범위(USD) *
원격 코드
최근 WIP 저속
빌드의 Microsoft
Edge에서
실행
필수필수높은최대 $15,000
아니요필수높은최대 $6,000
아니요필수낮음최대 $1,500
개인 정보나 중요한
사용자 데이터의
무결성을 손상하는
W3C 표준 위반

아니요필수높은최대 $6,000
 필수  

여기에는 다음 항목이 포함됩니다.

  • SoP 위반
    (즉, UXSS)
  • 참조 페이지 스푸핑
아니요 낮음최대 $1,500

다음 항목은 포함되지 않습니다.

  • XSS, CSRF:
    웹 사이트 소유자에게
    보고
  • XSS 필터 바이패스
    

*항목 품질 및 복잡성을 기준으로 Microsoft의 단독 판단에 따라 더 많은 금액이 지급될 수 있습니다.

적격한 제출 정의:

  • 작동하는 익스플로잇
    • 예를 들어 Microsoft Edge Technical Preview에서 공격자가 선택한 프로그램(예: calc.exe)을 실행하도록 강제하여 원격 코드 실행이 가능함을 구체적으로 보여 주는 개념 증명의 확장입니다.
  • 익스플로잇은 Windows 10 Insider Preview 저속 링에서 사용되는 모든 관련 완화를 바이패스해야 합니다.
  • 개념 증명
    • 안정적으로 취약성을 재현하는 데 필요한 파일 및 단계입니다.
  • 원격 코드 실행
    • 장치가 지리적으로 어디에 있든 관계없이 공격자가 다른 사용자의 컴퓨팅 장치에 액세스하고 변경할 수 있는 Microsoft Edge WIP 저속의 취약성입니다.

부적격한 제출을 구성하는 요소는 무엇인가요?

버그 바운티 프로그램은 사용자와 사용자 데이터의 보안에 직접적이고 시연 가능한 영향을 주는 중요한 취약성을 발견하기 위한 것입니다. 브라우저의 보안 취약성을 설명하는 제출을 권장하지만 이 프로그램에서 바운티가 지급되지 않는 취약성의 예는 다음과 같습니다.

  • 현재 WIP 저속 빌드보다 이전 빌드의 취약성
  • 모든 Internet Explorer 버전의 취약성
  • 사용자가 생성한 콘텐츠의 취약성
  • 사용자 작업이 광범위하게 필요하거나 거의 필요하지 않은 취약성
  • MemGC(메모리 가비지 수집기)가 꺼진 경우의 취약성
  • 기존 브라우저 보안 기능을 사용하지 않을 경우 발견되는 취약성
  • 실험적 기능의 취약성(예: about:flags에 나열된 취약성)

Microsoft는 바운티를 받을 자격이 있어도 단독 판단에 따라 취약성 범주에 속하지 않는다고 결정된 제출을 거부할 수 있는 권한을 가집니다.

제출을 제공하려면 어떻게 해야 하나요?

여기에 제공된 버그 제출 지침에 따라 완성된 제출을 Microsoft(secure@microsoft.com)에 보내 주세요.모든 취약성을 보고할 때는 협정 취약성 공개를 따라야 합니다. 어떤 이유로든 수신되지 않은 제출에 대해서는 책임지지 않습니다. Microsoft는 이해하기 어렵거나 불완전한 제출 내용을 파악하기 위해 노력할 것입니다.

적격한 제출을 제공했지만 협정 취약성 공개를 따르지 않은 경우(예: 이 프로그램에서 제출할 때나 그 이전에 취약성 게시) 해당 제출은 이 프로그램에 부적격한 것으로 간주될 수 있습니다. 또한 향후 Microsoft 바운티 프로그램에서 보상을 받지 못하도록 금지될 수도 있습니다.

제출 제공 시 어떤 기밀 유지 의무가 부여되나요?

이 프로그램에 대한 제출을 보낼 경우 Microsoft에서 해당 코드를 일반 공개하거나 법률에 의거해서 공개가 요청되지 않는 한 해당하는 취약성에 대해 작동하는 익스플로잇 코드(해당 코드의 이진 포함)를 다른 엔터티에 공개하지 않을 것에 동의하게 됩니다. 취약성 토론이나 코드로 익스플로잇 영향 표시는 금지되지 않습니다. 공개 포럼에서 발표하거나 미디어와 인터뷰하기 전에 secure@microsoft.com에 문의하세요.

제출을 보냈습니다. 이제 어떻게 해야 하나요?

  • 제출이 수신되었다는 메일 메시지를 받게 됩니다.
  • 엔지니어들이 제출 내용을 검토하고 적합성을 검증합니다. 검토 시간은 제출의 복잡성 및 완성도와 수신된 제출 수에 따라 달라집니다.
  • 제출이 검증된 후 지급을 처리하는 데 필요한 서류를 제공하라는 연락을 받게 됩니다.
  • 세금 관련 서류를 작성합니다. 해당 서류가 수신되고 이 프로그램에서 지급을 받을 자격이 있는지 확인되면 제출이 적격한 것으로 간주되고 바운티가 처리됩니다.

바운티 지급:

바운티는 취약성의 품질 및 복잡성을 기준으로 Microsoft의 단독 판단에 따라 지급됩니다. Microsoft에서 단독 판단에 따라 제출이 적격한지 결정합니다. Microsoft에서 단독 판단에 따라 제출이 적격한지 결정합니다. 적격한 제출에 대해 지급되는 최소 바운티는 $500 USD이고, 최대 $15,000 USD(Microsoft 판단에 따라 증가할 수 있음)입니다. 개별 제출자가 제공하고 지급을 받을 수 있는 적격한 제출 수에 대한 제한은 없습니다.

취약성 제출에 대한 바운티 지급을 받지 않으려는 제출자는 Microsoft와 협의하여 해당 바운티를 승인된 자선 단체에 기부할 수 있습니다.

바운티를 지급받은 모든 개인은 바운티 명단 페이지에 나열됩니다.

누가 참여할 수 있나요?

다음과 같은 경우 이 프로그램에 참여할 수 있습니다.

  • 14세 이상인 경우. 14세 이상이지만 거주 국가에서 미성년자로 간주되는 경우 이 프로그램에 참여하기 전에 부모 또는 법적 보호자의 허락을 받아야 합니다.
  • 자신의 능력으로 참여하는 개인이거나 참여를 허락한 조직을 위해 일하는 경우. 이 프로그램에 참여하는 경우에 대한 고용주의 규칙을 검토할 책임이 있습니다.
  • "누가 참여할 수 없나요?"에 나열된 부적합 기준에 해당하지 않는 경우

누가 참여할 수 없나요?

  • 미국 제재 국가(예: 쿠바, 이란, 북한, 수단, 시리아 및 크리미아 반도 지역)의 주민인 경우
  • 현재 Microsoft Corporation 또는 Microsoft 자회사의 직원이거나 해당 직원의 직계 가족(부모, 형제, 배우자 또는 자식) 또는 가족인 경우
  • 제출 전 6개월 이내에 Microsoft Corporation 또는 Microsoft 자회사의 직원이었던 경우
  • 제출 전 6개월 이내에 Microsoft Corporate Network에 액세스해야 했던 외부 회사에서 Microsoft 또는 Microsoft 자회사에 대한 서비스를 수행한 경우(예: 에이전시 임시 직원, 공급업체 직원, 비즈니스 게스트 또는 계약자)
  • 현재 Microsoft Corporate Network에 액세스해야 하는 외부 회사에서 Microsoft 또는 Microsoft 자회사에 대한 서비스를 수행하는 경우(예: 에이전시 임시 직원, 공급업체 직원, 비즈니스 게스트 또는 계약자)
  • 이 프로그램의 관리 및/또는 실행에 관련된 경우

Microsoft 결정은 최종적이며 구속력이 있습니다. Microsoft는 언제든지, 어떤 이유로든 이 프로그램을 취소할 수 있습니다. 제출을 보내기 전에 이 사용 약관을 모두 확인해야 합니다.이 프로그램에 대한 제출을 보내는 경우 이러한 사용 약관에 동의하게 됩니다. 사용 약관에 동의하지 않으면 제출을 보내지 않거나 이 프로그램에 참여하지 마세요.

바운티 프로그램 질문과 대답 및 프로그램 요구 사항

FAQ에 나열된 Microsoft 바운티 프로그램 - 포괄적인 사용 약관 준수는 사용자 책임입니다. 자세한 지침을 보려면 Microsoft 바운티 프로그램 FAQ를 참조하세요.

  1. Microsoft에 버그 보고
  2. Microsoft 심사 및 지급 프로세스
  3. 참여 자격 기준
  4. 바운티 지급 정책
  5. 기밀 유지 의무
  6. Microsoft 개인 정보 취급 방침 및 법적 고지
  7. 다양한 Microsoft 바운티 프로그램에 대한 기타 질문
  8. 협정 취약성 공개

개인 정보 취급 방침

이 프로그램에 대한 개인 정보 취급 방침을 참조하세요.

법적 고지:

Microsoft 법적 지침에 대한 자세한 내용을 보려면 FAQ로 이동한 다음 '법적 고지'로 스크롤하세요.

Microsoft 버그 바운티 프로그램에 참여해 주셔서 감사합니다.

관련 내용

How to report online services security vulnerabilities(Online Services 보안 취약점 보고 방법)

About MSRC(MSRC 정보)

MSRC 블로그

SRD 블로그

승인 페이지

Online Services Acknowledgments(Online Services 승인)

Bounty Hunters: The Honor Roll(바운티 헌터: 명단)

Security Conference Speaker Recognition(보안 컨퍼런스 발표자 명단)