보안
보안을 매우 중요하게 생각합니다. PrivateStater에서 취약점을 발견하셨다면 책임 있게 공개해 주시면 감사하겠습니다.
번역 주의사항
Google Translate, Papago와 같은 기계 번역기가 이 페이지의 일부를 잘못 번역하는 것이 확인되었습니다. 정확한 내용은 원문(한국어 및 영어)을 참고해 주세요.
취약점 보고
보안 취약점을 발견하셨다면 이메일로 보고해 주세요. 문제를 이해하고 신속하게 해결하기 위해 함께 노력하겠습니다.
응답 시간
이메일을 받고 48시간 이내에 확인 응답을 드리며, 진행 상황을 계속 알려드리고 문제가 해결되면 알려드리겠습니다.
포함할 내용
보고서에 다음 정보를 포함해 주세요:
- 취약점 설명
- 문제 재현 단계
- 영향을 받는 URL 또는 구성요소
- 잠재적 영향에 대한 평가
- 개념 증명 코드 (해당되는 경우)
범위
다음은 보안 보고 범위에 포함됩니다:
- PrivateStater (privatestater.com)
- 클라이언트 측 스크립트 (privatestater.com/privatestater.js)
- 대시보드
- 사용자 인증
- API들
- 이메일 시스템 (*@privatestater.com)
범위 외
다음은 유효한 보안 보고로 간주되지 않습니다:
- 서비스 거부 (DoS, DDoS) 공격
- 소셜 엔지니어링 또는 피싱
- PrivateStater 인프라에 대한 물리적 공격
- 사용하는 제3자 서비스의 문제
- 사용자 기기에 물리적 액세스가 필요한 취약점
- 검증 없이 자동화 도구로 스캔한 보고서
금지 사항
주제와 관련이 있더라도 다음 행위는 삼가주세요. 발견한 취약점을 테스트하기 위해 이 중 하나라도 위반해야 하는 경우, 자세한 정보와 함께 이메일로 연락 주시면 제가 직접 테스트하겠습니다.
- 다른 사용자가 서비스를 정상적으로 사용하지 못하게 하는 행위
- 다른 사용자의 정보 침해
- 서버 과부하 유발
버그 바운티
개인이 운영하는 서비스이기 때문에 PrivateStater는 현재 금전적 보상을 제공할 수 없습니다. 다만 원하신다면 책임 있는 공개에 대한 기여자 목록에 크레딧을 기재하겠습니다.
세이프 하버
본 정책에 따른 취약점 연구에 대해 PrivateStater는 그 연구를 다음과 같이 간주합니다:
- 적용 가능한 해킹 방지 관련 법률상 허용되는 범위입니다. PrivateStater는 본 정책에 대한 우발적/선의의 위반에 대해 귀하를 상대로 법적 조치를 시작하거나 지원하지 않습니다;
- 관련 우회 방지 법률상 허용되는 범위입니다. 선의의 연구 과정에서의 기술적 통제 우회에 대해 PrivateStater는 귀하를 상대로 청구를 제기하지 않습니다;
- 본 정책에 따른 선의의 보안 연구를 막는 PrivateStater 이용약관(TOS) 및/또는 허용 사용 정책(AUP) 조항의 적용으로부터 제한적으로 면제되며, 해당 제한을 포기합니다;
- 합법적이며, 인터넷 보안 전반에 도움이 되고 선의로 수행된 것입니다.
여전히 모든 적용 법률을 준수해야 합니다. 제3자가 귀하를 상대로 법적 조치를 시작했고 귀하가 본 정책을 따랐다면, 귀하의 행위가 본 정책에 부합했음을 알리기 위해 합리적인 조치를 취하겠습니다.
연구 내용이 본 정책과 맞는지 확신이 서지 않으면, 추가로 진행하기 전에 위 「취약점 보고」에 안내된 연락 방법으로 먼저 알려 주세요.
이 세이프 하버는 PrivateStater가 통제할 수 있는 법적 주장에만 적용됩니다. 독립적인 제3자를 구속하지 않습니다.