리디 버그 바운티 프로그램
리디 버그 바운티 프로그램 소개 리디는 고객 개인정보의 보안을 가장 중요한 가치로 여깁니다. 저희는 버그 바운티 프로그램을 통한 보안 전문가들의 도움으로 고객의 개인정보를 보호하고, 조직 전체에 걸친 보안 정책을 개선할 수 있다고 믿습니다. 만약 리디의 시스템에서 보안 관련된 문제를 찾아내셨다면 저희와 함께 책임있는 공개 절차를 진행해 주시기를 부탁드리겠습니다. 제보해주신 문제점은 저희 내부의 다른 어떤 업무보다 높은 우선순위로 처리를 진행하겠습니다. 범
ridi.dev
리디북스 버그바운티를 6월경에 도전했었습니다. 버그바운티 프로그램에서 가장 많이 제보되는 취약점은 XSS와 OpenRedirect 취약점 인데요. 비록 바운티 금액은 적지만, 여러건 발견한다면 꽤 쏠쏠한 금액이 되겠죠.
바운티를 하실 때 주의해야하실 점이 하나 있습니다. 바로 boundary를 잘 보셔야 하는데요. 이 부분을 잘 읽지않고 버그바운티를 진행하게 되면 실 서버로의 불법적인 공격이 됩니다.
목표는 XSS를 목표로 진행했는데, 쉽지 않더라구요. 당연히 우리가 생각하는 공격포인트 및 공격구믄으로는 택도 없었습니다. 한참을 시도하다... XSS를 포기하고 OpenRedirect라도 발견해보자 하고 로그인 페이지에서 로그인을하고, 다시 메인페이지로 Redirection 해주는 부분을 공격포인트를 잡아서 우회 페이로드를 집어넣었더니 해당 부분에 OpenRedirect 취약점이 있었습니다.
이런 간단한 취약점은.. 속도전이기 때문에 빠르게 보고서를 작성해서 제출했습니다.
결과는 해당 취약점이 유효하다고 판단되어 바운티 금액과, 리디북스 페이퍼프로를 지급받았습니다.
사실 진짜 별거아니지만 첫 바운티를 받은것이라 저에게 매우 의미있다고 생각해서 후기를 써보았습니다.
지금도 리디북스 버그바운티는 진행중이며, 많은분들이 계속 취약점을 발견해내고 있네요.
'이것저것..' 카테고리의 다른 글
| 리버싱 핵심원리 옛날 실습자료 (0) | 2019.10.16 |
|---|---|
| 이 프로토콜 아시는분 계신가요. (0) | 2019.08.29 |
| 케이쉴드 주니어 1기 개인프로젝트 (2) | 2019.08.24 |
| 일상에 익숙해 진다는 느낌.. (1) | 2019.05.03 |
| 카카오톡 봇 (3) | 2019.04.09 |