보안은 모두를 위해 Snipp를 안전하게 유지하는 핵심이며, 저희는 취약점을 빠르게 찾아 고치기 위해 연구자들에게 의존합니다. 보안 문제를 발견했다면 저희에게 알려주세요. 모든 책임 있는 공개에 감사드립니다. 즐거운 헌팅 되세요!
선의로 취약점을 신고하고 이 페이지의 지침을 따르는 누구에게도 결코 법적 조치를 취하지 않습니다.
모든 신고를 48시간 이내에 확인하는 것을 목표로 하며, 해결 과정 내내 진행 상황을 알려드립니다.
발견한 문제의 심각도와 영향에 따라 독점 프로필 배지와 PLUS 구독 무료 이용 개월을 받을 자격이 주어질 수 있습니다.
Snipp 보안에 의미 있는 기여를 한 연구자는 계정에 공개적으로 표시되는 프로필 배지를 받을 수 있습니다.
첫 유효한 취약점 신고에 수여됩니다. Snipp를 더 안전하게 만드는 데 도움을 준 연구자를 인정합니다.
3~5건의 뛰어난 신고 또는 단 하나의 치명적 발견 이후 수여됩니다. 가장 영향력 있는 문제를 발견하는 활발한 연구자를 위한 것입니다.
모든 테스트는 본인 계정에서 수행해야 합니다. 다른 사용자의 데이터나 계정에 절대 간섭하거나 영향을 주지 마세요.
Snipp가 운영하는 서비스만 범위에 포함됩니다. 저희 API를 통해 연동된 것이라도 제3자 플랫폼을 대상으로 한 신고는 받지 않습니다.
서비스 저하나 데이터 무결성 손상을 일으킬 수 있는 활동은 피하세요. 무차별 대입, DoS, 스팸, 타이밍 기반 공격이 포함됩니다.
자동화 스캔 도구는 허용되지 않습니다. 모든 테스트는 수동으로 해야 합니다.
내부적으로 처리하는 동안 특정 취약점 유형을 일시적으로 범위에서 제외할 수 있습니다. 변경 사항은 이 페이지에 반영됩니다.
저희가 문제를 완전히 조사하고 해결할 때까지 모든 발견 사항을 비밀로 유지해 주세요.
책임 있는 공개는 위험을 최소화하면서 문제를 빠르게 고치는 데 도움이 되는 최선의 방법입니다. 저희에게 직접 신고하면 악의적인 행위자에게 취약점을 노출하지 않고 즉시 수정 작업을 시작할 수 있습니다.
저희가 처리할 기회를 갖기 전에 소셜 미디어, 포럼 등 어디서든 공개적으로 공유된 발견 사항은 배지 인정 대상이 되지 않습니다. 먼저 문제를 고칠 기회를 주는 분들께 공로를 인정하고 싶습니다.
여러 사람이 같은 문제를 신고하면, 다음을 기준으로 제출물을 평가합니다:
기술적 설명의 명확성
신고가 실제 영향을 얼마나 잘 전달하는지
제출 시각
Snipp를 더 안전하게 만드는 데 시간을 내어 도와주는 모든 연구자께 진심으로 감사드립니다.
제출하기 전에 그 문제에 현실적인 공격 시나리오와 의미 있는 보안 영향이 있는지 생각해 보세요. 다음은 일반적으로 제외됩니다:
계정 열거
MITM 또는 사용자 기기에 대한 물리적 접근이 필요한 공격
클릭재킹
콘텐츠 스푸핑 및 텍스트 인젝션
CSRF 취약점
이메일 SPF, DKIM, DMARC 레코드
누락된 HttpOnly/Secure 쿠키 플래그
개방된 CORS 헤더
요청 제한
스캐너 및 자동화 도구의 신고
자가 익스플로잇(토큰 재사용, 콘솔 스크립팅 등)
사용자나 스태프를 대상으로 한 사회공학 또는 피싱 공격
외부 서비스, 파트너, 연동은 이 프로그램의 범위 밖입니다. Snipp 소유의 기능과 API의 취약점만 해당됩니다. 신고는 Snipp 자체에 대한 명확한 보안 영향을 보여야 합니다.
공격자가 사회공학에 의존하지 않고 다른 사용자의 API 키, 세션 토큰 또는 자격 증명을 획득할 수 있는 시나리오는 모두 범위에 포함됩니다.
조작된 입력이나 일반적인 사용자 상호작용으로 발생하는 재현 가능한 웹사이트 크래시는, 자원 고갈, 스팸 또는 기타 서비스 거부 기법에 의존하지 않는 한 범위에 포함됩니다.
경쟁 상태 익스플로잇에 의존하는 신고는 채택되려면 추가 증거가 필요합니다. 다음 중 최소 하나를 포함해 주세요:
재현 가능한 스크립트 (Python 또는 JavaScript 권장, 다른 언어도 가능)
조건을 유발하는 데 필요한 HTTP 메서드, 엔드포인트, 정확한 요청 순서를 다룬 상세한 설명
스크립트를 포함하면 저희가 문제를 검증하기 훨씬 쉬워지고 검토 과정이 빨라집니다.