버그 바운티 프로그램
보안은 협업입니다. 버그를 신고하고 보상 받으세요.
취약점 유형
치명
중요 비즈니스
최대 $10,000*
일반 비즈니스
최대 $5,000*
엣지 (Edge) 비즈니스
최대 $2,500*
*사례별로 중요한 버그 보고에 대해 더 높은 금액을 지불할 수 있습니다.
심각도가 치명적인 문제는 고객 또는 Deriv에 막대한 위험을 초래합니다. 이는 종종 당사의 인프라에서 상대적으로 낮은 수준의 구성 요소에 영향을 미칩니다. 예를 들면 다음과 같습니다:
- 생산 네트워크 내의 서버에서 임의의 코드/명령 실행
- 생성 데이터베이스에 대한 임의적 질문
- 비밀번호 또는 2FA (2단계 인증)에 대하여 당사의 로그인 절차를 우회
- 민감한 생성 사용자 데이터 및 내부 생성 시스템으로의 접근
- 저희의 고객 및 회사에 손실을 초래할 수 있는 결제 관련 취약점
높음
중요 비즈니스
최대 $5,000
일반 비즈니스
최대 $2,500
엣지 (Edge) 비즈니스
최대 $1,000
심각도가 높은 문제는 일반적으로 중요한 문제보다 범위가 더 좁지만 민감한 고객 및 회사 데이터가 공격자에게 노출될 수 있습니다. 예를 들면 다음과 같습니다:
- 콘텐츠 보안 정책 (CSP)를 우회하는 크로스 서버 스크립트 (XSS)
- 인증을 우회하고 고객의 계정이나 장치에 로그인하며 고객의 민감한 데이터를 추출할 수 있는 능력과 동의 없이 작업을 수행하는 능력
- 백엔드 코드, 내부 세션 쿠키, 또는 기타 민감 정보에 대한 접근권한 확보
- 고객의 손실을 야기할 수 있는 상호작용 로직의 취약 문제
중간
중요 비즈니스
최대 $500
일반 비즈니스
최대 $250
엣지 (Edge) 비즈니스
최대 $100
심각도가 중간 정도인 문제에서는 공격자가 무단으로 접근하여 제한된 양의 민감한 데이터를 읽거나 변경할 수 있습니다. 이 데이터는 일반적으로 심각도가 높은 문제로 인해 노출되는 데이터보다 덜 민감합니다. 예를 들면 다음과 같습니다:
- 고객의 민감한 정보, 당사의 백엔드 코드 또는 GitHub의 내부 정보 중 제한된 부분에 접근할 수 있는 능력
- CSP를 우회하지 않고 다른 유저의 세션에서 인가되지 않은 행위를 실행하지 않는 XSS
- 사이트 간 및 서버 측 요청 위조 (당사의 내부 네트워크에 접근하지 않고)
- 서브도메인 점유
낮음
심각한 보안 문제를 해결하는 데 도움이 되는 낮은 수준의 취약성에 대한 신고 경우에만 보상이 제공되며, 보상 금액의 수준은 사례에 따라 결정됩니다.
심각도가 낮은 문제는 극히 제한된 양의 데이터를 노출합니다. 이러한 문제는 본래 목적의 의도대로 작동되는 것에 대한 기대를 할 수 없도록 만들 수 있지만 권한 상승이나 의도하지 않은 행동을 유발할 수 있는 능력은 없습니다. 예를 들면 다음과 같습니다:
- 악용 가능성 증명 또는 민감 정보 획득 없이 디버그 오류 페이지 시현
- 사이트 간 요청 위조 (중요하지 않음)
- 어려운 시나리오 또는 전제 조건에 근거한 취약점
- 민감한 정보 없이 노출된 로그