[Tips] 버그바운티 플렛폼 후기 (해킹존)

올해 1월에 조기전역하고 바로 버그바운티를 시작한 늅늅이입니다.

참여후기 이벤트를 진행하다고 해서 후기를 남겨봅니다... ㅋㅋ

 

처음에는 영어도 못하면서 hackerone 같이 해외 버그바운티 플랫폼에서 기웃거리다가

4월에 삼성SDS에서 국내 버그바운티 플랫폼을 만들었다는 소식을 듣고 호기심에 참가하게 되었습니다.

 

https://hackingzone.net/

 

[*] 대상 프로그램

[사진1] 해킹존 대상 프로그램들

위 사진은 현재 진행되고 있는 대상 프로그램들 목록인데 보다시피 웹이 대상인 프로그램들이 대부분이었습니다.

특별한 점으로는 삼성에서 하는 것이다보니 삼성 제품이나 삼성 서비스 사이트가 대상으로 올라오기도 하더라구여. 

 

그리고 포상금은 평균적으로 꽤 많이주는 편인데 몇몇 포상금을 안주는 사이트의 경우에는 랭킹에 영향이가는 포인트를 대신 많이 주는 편인것 같더라구여.

그리고 아직 서비스를 운영하기 전인 사이트들에 대해서는 VDI를 이용해 제보자가 원격으로 해당 사이트에 접속할 수 있는 PC에 접속하여 해당 PC내에서 버그바운티를 진행 할 수 있도록 되어 있었습니다. 

[사진2] VDI

위 사진처럼 제보자마다 고유의 ID와 PW가 제공되어 VDI에 접속해서 버그바운티에 참가할 수 있었습니다.

서비스 운영자의 입장에서는 외부로 사이트를 노출하지 않은 상태에서 버그바운티를 진행할 수 있다는 장점이 있을 것 같습니다.

다만 제보자의 입장에서 단점은 재접속할때마다 저장해놨던 내용이 전부 사라지고, 좀 느리고, 무엇보다 로컬과 VDI의 클립보드가 연동이 안된다는 점이 있었습니다...

 

[*] 취약점 제보

저는 포너블 쪽을 주로 공부해서 웹 해킹은 거의 CTF나 워게임에서 어깨넘어로 배운것들이 전부인데 

운좋게 취약점을 찾아서 제보를 할 수 있었습니다. (하지만 중복제보로 무효처리 되었지만요... ㅠ)

 

제보 대상인 프로그램을 클릭하면 아래와 같이 소개, 제보 대상 사이트, 공지사항, 제약사항이 나옵니다.

이런 부분은 hackerone과 크게 다른점이 없는것 같습니다.

[사진3] 대상 프로그램

제보할 때의 특징은 중복제보를 최소화 하기 위해서 미리 제보된 취약점들에 대한 제목까지는 알려주었습니다.

[사진4] 제보된 취약점 목록

hackerone과 다른점은 제보 후 패치가 완료된 취약점에 대한 리포트나 별로 타격이 없는 취약점들에 대한 리포트에 대해 어떠한 공개가 없다는 점이 있습니다. 보안적으로 봤을때는 공개를 안하는게 최고지만 저같이 공부하는 사람 입장에서는 조금 아쉬웠습니다...

 

[사진5] 무효처리된 내 제보... ㅠ

hackerone과 비슷한 점은 제출한 리포트에 대해 담당자분과 댓글형식으로 서로 궁금한점을 물어보며 대화가 가능하다는 점이 있는 것 같습니다.

 

제가 느꼈던 가장 큰 장점은 국내 플랫폼이고 대상들도 국내 프로그램들이다 보니 제보를 한국어로 할 수 있다는게 영어를 못하는 저에게는 가장 큰 장점 이었던것 같습니다 ㅋㅋ

 

[*] 마무리

아직 저는 아쉽게도 제보를 통해 리워드를 받아보지는 못했지만 그래도 해킹존 플랫폼을 통해 태어나서 처음으로 취약점도 찾고 제보도 할 수 있는 좋은 경험을 할 수 있었습니다. 좋은 플랫폼 만들어 주셔서 감사합니다!

 

그리고 저는 리워드를 받는 그날까지...