XE 신규 보안 취약점 신고 포상제

XpressEngine(XE)은 자유소프트웨어로서 많은 이들의 참여를 통해 개발되고 있습니다.

XE에서 발견되는 문제의 유형은 의도된 동작을 하지 않는 버그 또는 개선사항에 집중되어 있습니다. 이 외에도 중요한 요소 중 하나가 ‘미처 발견하지 못한 취약점’으로 인해 발생하는 보안상의 문제입니다.

모든 보안 취약점을 발견하는 것은 어려움이 있으며 그 해결과정에도 많은 노력이 필요합니다. XE를 안전한 소프트웨어로 만들기 위해 여러분의 참여가 필요하며, 이를 독려하기 위해 취약점 신고 포상제를 시행하고 있습니다. (시행일: 2016년 9월 1일)

보안 취약점 제보자

제보자 내역
최영근 xvezda.blog.me
  • Reflected XSS

접수 대상 취약점

이 프로그램은 다음에 해당하는 항목에 대해서만 적용됩니다.

  • 발견 당시 최종 배포된 버전(최신 버전)의 XE Core에서 발견한 신규 취약점
  • XSS 등으로 관리자의 권한을 가로채는 등 악용하는 방식이 아니라면, 관리자 권한으로 제공되는 기능에서의 문제는 제외

취약점의 종류

  • XSS(Cross-site scripting)
  • CSRF/XSRF(Cross-site request forgery)
  • XXE(XML eXternal Entity)
  • Injection
  • 인증 및 세션 관리 취약점
  • 민감한 데이터의 노출
  • 권한이 없는 데이터 및 기능에 접근
  • 알려진 취약점이 있는 컴포넌트/라이브러리 사용
  • 검증되지 않은 Redirect 및 Forward
  • 기타

평가 기준

  • 영향받는 시스템의 보급 및 영향 범위(출현도)
  • 해당 취약점을 이용한 공격이 성공하였을 때 시스템에 미치는 영향(영향도)
  • 해당 취약점을 이용한 공격이 성공하기 위한 조건 등(공격의 효과성)
  • 취약점을 발굴하는데 필요한 기술적 난이도 및 제출한 신고 문서의 완성도(발굴 수준)
  • 취약점을 효과적으로 해결할 수 있는 방법 제공(해결 방법의 제시)

취약점 신고 방법 및 포상

  • 신고 접수기간 : 상시 접수
  • 신고 방법 : 신고 양식을 작성하여 developers@xpressengine.com으로 제출
  • 포상 방법 : 분기별(연 4회)로 검증된 신규 취약점에 대하여 포상
  • 타기관을 통해 접수되었거나 중복 접수된 취약점은 이 포상제에서 제외됩니다

신고 양식 다운로드

아래 양식을 작성하여 PDF 문서로 변환하여 제출해주시기 바랍니다.

신고 제출을 함으로써 "취약점 정보 활용 및 비밀유지" 및 "개인정보 수집 및 이용 동의" 등 문서 상의 동의 조건에 동의하는 것으로 합니다.

Pages(.pages) MS Word(.docx) 한컴 워드(.hwp)