버그 바운티 프로그램

치명

*사례별로 중요한 버그 보고에 대해 더 높은 금액을 지불할 수 있습니다.

심각도가 치명적인 문제는 고객 또는 Deriv에 막대한 위험을 초래합니다. 이는 종종 당사의 인프라에서 상대적으로 낮은 수준의 구성 요소에 영향을 미칩니다. 예를 들면 다음과 같습니다:

• 생산 네트워크 내의 서버에서 임의의 코드/명령 실행
• 생성 데이터베이스에 대한 임의적 질문
• 비밀번호 또는 2FA (2단계 인증)에 대하여 당사의 로그인 절차를 우회
• 민감한 생성 사용자 데이터 및 내부 생성 시스템으로의 접근
• 저희의 고객 및 회사에 손실을 초래할 수 있는 결제 관련 취약점

높음

심각도가 높은 문제는 일반적으로 중요한 문제보다 범위가 더 좁지만 민감한 고객 및 회사 데이터가 공격자에게 노출될 수 있습니다. 예를 들면 다음과 같습니다:

• 콘텐츠 보안 정책 (CSP)를 우회하는 크로스 서버 스크립트 (XSS)
• 인증을 우회하고 고객의 계정이나 장치에 로그인하며 고객의 민감한 데이터를 추출할 수 있는 능력과 동의 없이 작업을 수행하는 능력
• 백엔드 코드, 내부 세션 쿠키, 또는 기타 민감 정보에 대한 접근권한 확보
• 고객의 손실을 야기할 수 있는 상호작용 로직의 취약 문제

중간

심각도가 중간 정도인 문제에서는 공격자가 무단으로 접근하여 제한된 양의 민감한 데이터를 읽거나 변경할 수 있습니다. 이 데이터는 일반적으로 심각도가 높은 문제로 인해 노출되는 데이터보다 덜 민감합니다. 예를 들면 다음과 같습니다:

• 고객의 민감한 정보, 당사의 백엔드 코드 또는 GitHub의 내부 정보 중 제한된 부분에 접근할 수 있는 능력
• CSP를 우회하지 않고 다른 유저의 세션에서 인가되지 않은 행위를 실행하지 않는 XSS
• 사이트 간 및 서버 측 요청 위조 (당사의 내부 네트워크에 접근하지 않고)
• 서브도메인 점유

낮음

심각도가 낮은 문제는 극히 제한된 양의 데이터를 노출합니다. 이러한 문제는 본래 목적의 의도대로 작동되는 것에 대한 기대를 할 수 없도록 만들 수 있지만 권한 상승이나 의도하지 않은 행동을 유발할 수 있는 능력은 없습니다. 예를 들면 다음과 같습니다:

• 악용 가능성 증명 또는 민감 정보 획득 없이 디버그 오류 페이지 시현
• 사이트 간 요청 위조 (중요하지 않음)
• 어려운 시나리오 또는 전제 조건에 근거한 취약점
• 민감한 정보 없이 노출된 로그