버그 바운티(Bug Bounty)는 조직이 외부 보안 연구자에게 취약점을 발견·보고하면 금전적 보상을 제공하는 프로그램으로, 군중 소싱 방식의 보안 테스트다.
주요 버그 바운티 플랫폼
| 플랫폼 | 특징 | 주요 고객 |
|---|
| HackerOne | 가장 큰 플랫폼, 공개/비공개 프로그램 | Apple, Google, DoD |
| Bugcrowd | 관리형 서비스 강점 | Mastercard, Tesla |
| Intigriti | 유럽 중심 | 다수 유럽 기업 |
| Synack | 심사된 연구자만 참여 | 정부/금융 |
| 자체 운영 | 직접 관리 | Google VRP, Microsoft MSRC |
취약점 등급 및 보상
Critical (CVSS 9.0+):
- RCE (원격 코드 실행)
- SQL Injection (데이터 유출)
- 인증 우회
- 보상: $10,000 ~ $200,000+
High (7.0-8.9):
- Stored XSS
- SSRF (서버 측 요청 위조)
- 권한 상승
- 보상: $1,000 ~ $20,000
Medium (4.0-6.9):
- Reflected XSS
- CSRF
- 정보 노출
- 보상: $100 ~ $5,000
Low (0.1-3.9):
- Open Redirect
- Self-XSS
- 보상: $50 ~ $500 (미지급도 있음)
버그 리포트 작성 요령
markdown
## 취약점 요약
SQL Injection in /api/users?id= parameter
## 영향도
Critical - 전체 사용자 데이터베이스 유출 가능
## 재현 단계
1. GET /api/users?id=1' OR '1'='1 요청
2. 응답에 모든 사용자 데이터 포함됨
## 증거 (PoC)
curl -s "https://api.target.com/users?id=1'%20OR%20'1'%3D'1"
{"users": [{"id":1,"email":"admin@target.com",...},...]}
## 영향 및 시나리오
공격자가 이 취약점을 악용하면...
## 수정 권고
준비된 구문(Prepared Statement) 또는 ORM 사용
```
## 윤리적 가이드라인
```
해야 할 것:
✓ 스코프(허용 범위) 내에서만 테스트
✓ 즉시 보고 (경쟁 공개 없이)
✓ 데이터 최소 접근 (PoC에 필요한 최소한)
✓ 프라이버시 데이터 무단 접근 금지
하지 말 것:
✗ 범위 외 시스템 공격
✗ 서비스 중단 유발 (DoS)
✗ 사용자 데이터 저장/공유
✗ 취약점 공개 전 협박
```
## 관련 문서
- [[vulnerability-management|[취약점 관리](/wiki/vulnerability-management)]]
- [[secure-sdlc|[시큐어 SDLC](/wiki/secure-sdlc)]]
- [[threat-intelligence|[위협 인텔리전스](/wiki/threat-intelligence)]]
