Skip to main content

Microsoft .NET Core 및 ASP.NET Core 버그 바운티 프로그램 사용 약관

프로그램 설명

2016년 9월 1일부터 진행 중인 .NET Core ASP.NET Core 버그 바운티 프로그램을 발표합니다. 프로그램 기간 동안 secure@microsoft.com으로 메일을 보내 최신 릴리스 후보나 Windows, Linux 및 MacOS에서 실행되는 .NET Core 및 ASP.NET Core의 RTM 버전에서 발견된 취약성을 제출해 주세요. 현재 RTM 버전 및 후속 베타는 https://dot.net/에서 설치할 수 있습니다.

적격한 제출은 Microsoft에서 판단한 취약성의 품질과 복잡성에 따라 $500-$15,000 USD를 지급받을 수 있습니다. 품질이 매우 높은 제출의 경우 단독 판단에 따라 $15,000 USD 이상을 지급할 수도 있습니다.

적격한 제출을 구성하는 요소는 무엇인가요?

지급을 받으려면 제출이 다음 조건을 충족해야 합니다.

  • 보고서가 최신 RTM 버전이나 최신 Microsoft .NET Core 버전의 지원되는 베타 또는 RC 릴리스 및 Visual Studio 2015 이상용 ASP.NET 웹 도구 확장과 함께 제공된 기본 ASP.NET Core 템플릿에서 이전에 보고되지 않은 원래 취약성을 식별해야 합니다.
  • 취약성 예로 CSRF 보호 바이패스, 인코딩, 데이터 보호 실패, 클라이언트에 정보 공개, 인증 바이패스, 원격 코드 실행 등이 포함될 수 있습니다.
  • 취약성은 최신 RTM 버전 또는 현재 RTM 버전에서 지원되는 베타 또는 RC 릴리스에서 제출 및 재현되어야 합니다.
  • 취약성을 빨리 재현할 수 있도록 이해하기 쉬운 자세한 취약성 재현 지침을 포함해 주세요. 아래 지급 표와 같이 지침의 품질이 높을수록 더 많은 바운티를 지급받게 됩니다.

Microsoft는 단독 판단에 따라 이러한 조건에 맞지 않는 것으로 결정한 제출을 거부할 수 있습니다.

지급 금액은 어떻게 설정되나요?

  • $500-$15,000 USD 범위 내에서 바운티는 취약성의 품질 및 복잡성을 기준으로 Microsoft의 단독 판단에 따라 지급됩니다. Microsoft에서 단독 판단에 따라 제출이 적격한지 결정합니다.
  • 각기 다른 사람으로부터 동일한 문제에 대한 버그 보고서를 여러 개 받을 경우 바운티는 위에 나열된 조건에 따라 최초 제출에 부여됩니다.
  • 중복된 보고서에서 이전에 Microsoft에 알려지지 않은 새로운 정보를 제공하는 경우 중복 제출에 차등 바운티가 부여됩니다.
  • 내부적으로 알려진 문제에 대해 받은 최초 외부 보고서는 최대 $1,500 USD를 받게 됩니다.
  • 취약성 제출에 대한 바운티 지급을 받지 않으려는 제출자는 Microsoft와 협의하여 해당 바운티를 승인된 자선 단체에 기부할 수 있습니다.

적격한 제출에 대한 지급 범위는 다음에 따라 달라집니다.

취약성 유형개념 증명작동하는 익스플로잇백서/보고서 품질지급 범위(USD)
원격 코드 실행필수필수높은최대 $15,000
필수아니요높은최대 $6,000
필수아니요낮음최대 $1,500
보안 설계 결함필수필수높은최대 $10,000
필수선택 사항입니다.높은최대 $5,000
필수아니요낮음최대 $1,500
권한 상승필수필수높은최대 $10,000
필수아니요낮음최대 $5,000
원격 DoS필수선택 사항입니다.높은최대 $5,000
필수아니요낮음최대 $2,500
변조/스푸핑필수선택 사항입니다.높은최대 $5,000
필수아니요낮음최대 $2,500
정보 유출필수선택 사항입니다.높은최대 $2,500
필수아니요낮음최대 $750
템플릿 CSRF 또는 XSS필수선택 사항입니다.높은최대 $2,000
필수선택 사항입니다.낮음최대 $500

*항목 품질 및 복잡성을 기준으로 Microsoft의 단독 판단에 따라 더 많은 금액이 지급될 수 있습니다.

부적격한 제출을 구성하는 요소는 무엇인가요?

버그 바운티 프로그램은 사용자와 사용자 데이터의 보안에 직접적이고 시연 가능한 영향을 주는 중요한 취약성을 발견하기 위한 것입니다. ASP.NET의 보안 취약성을 설명하는 제출을 권장하지만 이 프로그램에서 바운티가 지급되지 않는 취약성의 예는 다음과 같습니다.

  • Microsoft 및 광범위한 보안 커뮤니티에 이미 알려져 있는 공개된 취약성
  • 사용자가 생성한 콘텐츠의 취약성
  • 사용자 작업이 광범위하게 필요하거나 거의 필요하지 않은 취약성
  • 기본 제공된 완화 메커니즘을 사용하지 않도록 설정하거나 사용하지 않는 취약성
  • 영향이 적은 CSRF 버그
  • 서버 측 정보 공개
  • .NET Core 또는 ASP.NET Core에 고유하지 않은 플랫폼 기술의 취약성(예: IIS, OpenSSL 등)

Microsoft는 바운티를 받을 자격이 있어도 단독 판단에 따라 취약성 범주에 속하지 않는다고 결정된 제출을 거부할 수 있는 권한을 가집니다.

.NET 및 ASP.NET 버그 바운티 프로그램 일정

프로그램 이름시작 날짜종료 날짜알림 링크
CoreCLR 및 ASP. NET 5 Technical Preview 바운티2015년 10월 20일2016년 1월 20일 https://blogs.msdn.microsoft.com/webdev/2015/10/20/net-core-and-asp-net-launches-a-beta-bug-bounty-program/
NET Core 및 ASP.NET Core RC2 버그 바운티2016년 6월 7일2016년 9월 7일 https://blogs.msdn.microsoft.com/webdev/2016/06/07/announcing-a-new-net-and-asp-net-core-bug-bounty/
Microsoft .NET Core 및 ASP.NET Core 버그 바운티2016년 9월 1일진행 중 https://blogs.msdn.microsoft.com/webdev/2016/09/01/announcing-the-ongoing-bug-bounty-for-net-core-and-asp-net-core/

바운티 프로그램 질문과 대답 및 프로그램 요구 사항

FAQ에 나열된 Microsoft 바운티 프로그램 - 포괄적인 사용 약관 준수는 사용자 책임입니다. 자세한 지침을 보려면 Microsoft 바운티 프로그램 FAQ를 참조하세요.

  1. Microsoft에 버그 보고
  2. Microsoft 심사 및 지급 프로세스
  3. 참여 자격 기준
  4. 바운티 지급 정책
  5. 기밀 유지 의무
  6. Microsoft 개인 정보 취급 방침 및 법적 고지
  7. 다양한 Microsoft 바운티 프로그램에 대한 기타 질문

Microsoft 버그 바운티 프로그램에 참여해 주셔서 감사합니다.

MSRC 블로그

Microsoft .NET Core 및 ASP.NET Core 버그 바운티 프로그램 사용 약관

SRD 블로그

Microsoft .NET Core 및 ASP.NET Core 버그 바운티 프로그램 사용 약관